Hoe verwijder je de Lampion-banking-trojan?

Wat is Lampion?

Lampion is een kwaadaardig programma, een banktrojan die cybercriminelen verspreiden door e-mails te versturen. De berichten bevatten een link waarmee een archiefbestand (ZIP) met kwaadaardige bestanden kan worden gedownload. Aangezien Lampion een banktrojan is, hebben cybercriminelen het programma ontworpen om informatie te stelen die kan worden gebruikt voor frauduleuze transacties, en andere gegevens.

De afbeelding hieronder is een screenshot van een e-mail die wordt gebruikt om mensen te misleiden en hun systemen te infecteren met Lampion, maar er kunnen ook andere sjablonen worden gebruikt. We raden u ten zeerste aan deze e-mail te negeren en geen bestanden te openen die via de bijgevoegde link worden gedownload.

Overzicht van Lampion

Als u op de kwaadaardige URL in de e-mail van cybercriminelen klikt, wordt er een ZIP-bestand gedownload. Dit bevat een PDF-document, .vbs- (Visual Basic Script) en .txt- (tekst) bestanden. Als het .vbs-bestand wordt uitgevoerd, worden er een aantal andere bestanden gedownload met de namen P-19-2.dll en 0.zip.

Het bestand P-19-2.dll is de Lampion-trojan, een Dynamic-link library-bestand dat verantwoordelijk is voor het stelen van gevoelige informatie en het verzenden ervan naar de Command & Control-server die wordt beheerd door cybercriminelen/aanvallers. Lampion verzamelt gegevens uit het klembord en de geïnstalleerde browsers van een geïnfecteerd systeem.

Cybercriminelen hebben ook toegang tot informatie over slachtoffers en hun systemen, zoals de versie van het besturingssysteem, de computernaam, de geïnstalleerde antivirussoftware, het land en andere details. Door toegang te hebben tot het klembord van het slachtoffer, kunnen aanvallers Lampion gebruiken om alle informatie te stelen die daarop is opgeslagen.

De opgeslagen gegevens kunnen het wachtwoord van een persoonlijk account of andere gevoelige gegevens zijn. Bovendien verzamelt deze banktrojan gegevens uit browsers, zoals logins, wachtwoorden, automatisch ingevulde gegevens en andere gevoelige informatie. Deze gegevens kunnen worden misbruikt om verschillende accounts en klanten te stelen.

Bijvoorbeeld sociale media-accounts, e-mailclients, bankgerelateerde accounts, enzovoort. Meestal gebruiken cybercriminelen deze om inkomsten te genereren door frauduleuze transacties en aankopen te doen, andere malware te verspreiden (bijvoorbeeld ransomware), enz. Als u denkt dat Lampion (of andere malware) al op het besturingssysteem is geïnstalleerd, verwijder deze dan onmiddellijk.

Voorbeelden van vergelijkbare malware

Andere voorbeelden van banktrojanen zijn Mispadu, Bolik en Casbaneiro.

Cybercriminelen die mensen willen misleiden om hun computers met dergelijke programma's te infecteren, hebben doorgaans één hoofddoel: zoveel mogelijk gevoelige informatie stelen. In veel gevallen lijden slachtoffers financieel verlies, wordt hun identiteit gestolen en krijgen ze te maken met problemen op het gebied van privacy, veiligheid tijdens het surfen, enzovoort.

Hoe is Lampion op mijn computer terechtgekomen?

Deze specifieke trojan wordt verspreid via e-mails. Dat wil zeggen via weblinks waarmee een zip-bestand met schadelijke bestanden wordt gedownload. Als een van deze bestanden (Visual Basic Script) wordt uitgevoerd, start de infectieketen van de Lampion-malware. Cybercriminelen verspreiden schadelijke software vaak door e-mails met schadelijke bestanden of weblinks te versturen.

Andere voorbeelden van bestanden die vaak worden bijgevoegd, zijn Microsoft Office-documenten, JavaScript-bestanden en uitvoerbare bestanden (.exe). Geen van deze bijlagen kan schade aanrichten of malware installeren als de ontvangers ze niet openen.

Hoe u de installatie van malware kunt voorkomen

Als u een e-mail ontvangt van een dubieus webadres, die irrelevant is en een bijlage (of websitekoppeling) bevat, moet u deze niet vertrouwen. De beste manier om schade door dergelijke e-mails te voorkomen, is door ze te negeren en de inhoud niet te openen. Bovendien moet alle software worden gedownload via directe koppelingen en van betrouwbare, officiële websites.

Wij raden af om bestanden en programma's te downloaden van niet-officiële pagina's, via peer-to-peer-netwerken (bijv. torrent-clients, eMule), downloaders van derden, enz. Installatieprogramma's van derden zijn niet te vertrouwen. Geïnstalleerde programma's moeten worden bijgewerkt met tools of functies die zijn ontworpen door officiële ontwikkelaars.

Het is niet veilig om nep-updaters van derden te gebruiken. Hetzelfde geldt voor het activeren van gelicentieerde software. Houd er ook rekening mee dat het illegaal is om software te activeren met ‘cracking’-tools (onofficiële tools). Installeer een gerenommeerde antivirus- of antispywaresuite en scan het besturingssysteem hiermee regelmatig.

Als u denkt dat uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.

Tekst in een e-mail die wordt gebruikt om mensen te misleiden om Lampion te installeren:

Se não está visualizando clique aqui

Estimado Contribuinte: SITUAÇÃO IRREGULAR

O sistema detectou e gerou um alerta sobre um débito - ano 2018 -
Este email foi gerado durante o processo de emissão da factura
electrónica para o lado negativo e remetido para você de acordo
com a legislação em vigor. Ao mesmo tempo, indicamos que os endereços
electrónicos dos destinatários de e-mails são obtidos, exclusivamente,
de bases de dados AT e não são divulgados a terceiros.

Leia com atenção:

O prazo para entrega da Declaração de Rendimentos, de Imposto sobre o
Rendimento das Pessoas Singulares (IRS) - Modelo 3, decorre de 1 de abril a 30 de
junho. É neste período que são entregues as declarações relativas aos rendimentos
do ano anterior e a outros elementos informativos relevantes para a sua concreta
situação tributária. A informação constante das declarações submetidas É validada
pela Administração Tributária e Aduaneira (AT). Após a entrega da declaração, caso
receba um alerta com a designação de Divergência, isso significa que AT detetou,
nos dados que declarou, um ou mais valores de Rendimentos, Retenções na Fonte, e/ou
Deduções diferentes do(s) que consta(m) na base de dados.

Mantenha atualizados os seus dados pessoais no Portal das Finanças e fiabilize
os seus contactos (e-mail e telefone) para receber informação de apoio ao
cumprimento das suas obrigações fiscais e aduaneiras.
O arquivo XML correspondente a esta factura está no anexo.
Você pode verificá-lo através do site do Portal AT com o ID abaixo.
CONSULTAR DIVERGÊNCIA N: AT-OBV5GJUO .( 5Kb)
Atte: Direção de Serviços de Comunicação

17/01/2020 06:25:52 - Portal AT Resolução:AT-OBV5GJUO

1997 - 2019 AT © Todos os direitos reservados

Update 12 mei 2020 - Na een onderbreking van enkele maanden is de Lampion-trojan weer actief. Cybercriminelen zijn een aantal verschillende spamcampagnes gestart (meestal met betrekking tot bankafschriften, kennisgevingen, enz.) om gebruikers aan te moedigen bijlagen te openen of bepaalde websites te bezoeken. Er zijn ook een aantal kwaadaardige websites ontwikkeld om deze malware te verspreiden.

Lijst met cryptocurrency- en bankwebsites die het doelwit zijn van Lampion:

• Aplicativo bradesco
• BANRITRAVAR
• BPI
• BPI Net
• Banco BPI
• Banco Original
• Banco bradesco
• Banco do Brasil
• Banco montepio
• Banking bnb
• Bankinter
• CA Empresas
• CGD
• Caixa Economica
• Caixadirecta
• Caixadirecta Empresas
• Citibank
• Crédito Agrícola
• EuroBic
• Inlogpagina
• Mercado Bitcoin
• Millenniumbcp
• Montepio
• NOVO BANCO
• Navegador exclusivo
• Nercado bitcoin
• Santander
• TravaBB
• TravaBitco

Update 30 oktober 2025 - Nieuwe distributietactieken omvatten het gebruik van ZIP-bijlagen die HTML met omleidingen bevatten, het gebruik van een ClickFix social-engineering-lokmiddel waarbij slachtoffers wordt gevraagd om opdrachten te plakken, en het toevoegen van persistentiemechanismen in het Visual Basic Script (VBS) om de malware moeilijker te verwijderen te maken.

De uiteindelijke payload wordt nu geleverd als één groot DLL-bestand (in plaats van meerdere bestanden) om analyse te bemoeilijken. De infrastructuur maakt gebruik van verschillende cloudhosts, omleidingen en IP-blacklists om detectie en analyse te omzeilen.

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

• Wat is Lampion?
• STAP 1. Handmatige verwijdering van Lampion-malware.
• STAP 2. Controleer of uw computer schoon is.

Hoe malware handmatig verwijderen?

Het handmatig verwijderen van malware is een ingewikkelde taak. Meestal kunt u dit het beste automatisch laten doen door antivirus- of antimalwareprogramma's. Om deze malware te verwijderen, raden wij u aan Combo Cleaner Antivirus voor Windows te gebruiken.

Als u malware handmatig wilt verwijderen, moet u eerst de naam van de malware identificeren die u wilt verwijderen. Hier volgt een voorbeeld van een verdacht programma dat op de computer van een gebruiker wordt uitgevoerd:

Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer, en een programma hebt gevonden dat verdacht lijkt, moet u deze stappen volgen:

Download een programma met de naam Autoruns. Dit programma toont automatisch startende toepassingen, het register en de locaties van het bestandssysteem:

Start uw computer opnieuw op in de veilige modus:

Gebruikers van Windows XP en Windows 7: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet. Selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Video die laat zien hoe u Windows 7 kunt opstarten in de "Veilige modus met netwerkmogelijkheden":

Windows 8-gebruikers: Start Windows 8 op in de veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd en selecteer Instellingen in de zoekresultaten. Klik op Geavanceerde opstartopties en selecteer Geavanceerd opstarten in het venster 'Algemene pc-instellingen' dat wordt geopend.

Klik op de knop 'Nu opnieuw opstarten'. Uw computer wordt nu opnieuw opgestart in het menu 'Geavanceerde opstartopties'. Klik op de knop 'Problemen oplossen' en vervolgens op de knop 'Geavanceerde opties'. Klik in het scherm met geavanceerde opties op 'Opstartinstellingen'.

Klik op de knop 'Opnieuw opstarten'. Uw pc wordt opnieuw opgestart en het scherm Opstartinstellingen wordt weergegeven. Druk op F5 om op te starten in de veilige modus met netwerkmogelijkheden.

Video die laat zien hoe u Windows 8 kunt opstarten in "Veilige modus met netwerkmogelijkheden":

Windows 10-gebruikers: Klik op het Windows-logo en selecteer het pictogram Power. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. Klik in het venster "Kies een optie" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".

Selecteer in het menu met geavanceerde opties 'Opstartinstellingen' en klik op de knop 'Opnieuw opstarten'. In het volgende venster moet u op de knop 'F5' op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkondersteuning.

Video die laat zien hoe u Windows 10 kunt opstarten in de "Veilige modus met netwerkmogelijkheden":

Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Klik in de toepassing Autoruns bovenaan op 'Opties' en schakel de opties 'Lege locaties verbergen' en 'Windows-vermeldingen verbergen' uit. Klik na deze procedure op het pictogram 'Vernieuwen'.

Controleer de lijst die door de Autoruns-applicatie wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.

U moet het volledige pad en de naam ervan noteren. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat u systeembestanden verwijdert. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u "Verwijderen".

Nadat u de malware hebt verwijderd via de toepassing Autoruns (hierdoor wordt ervoor gezorgd dat de malware niet automatisch wordt uitgevoerd bij de volgende keer dat het systeem wordt opgestart), moet u op uw computer zoeken naar de naam van de malware. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.

Start uw computer opnieuw op in de normale modus. Door deze stappen te volgen, zou alle malware van uw computer moeten worden verwijderd. Houd er rekening mee dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u niet over deze vaardigheden beschikt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.

Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan malware achteraf te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner Antivirus voor Windows.