Norsk Hydro不会支付赎金需求 会从备份中恢复

Norsk Hydro不会支付赎金需求，也会从备份中恢复

微软员工抵达挪威帮助Norsk Hydro在勒索软件攻击后恢复。

在本周二遭受致命的勒索软件袭击之后，铝生产商Norsk Hydro正在慢慢开始从事件中恢复过来。

安全

'100个独特的漏洞和计数'用于最新的WinRAR安全漏洞

网络安全：不要让小东西给你带来大问题

为什么安全性是企业云采用的首要障碍[混合云电视]

红队帮助保护开源软件

“微软和其他IT安全合作伙伴有专家空运来帮助海德鲁采取一切必要行动，以系统的方式来获得关键业务系统重新正常运行，”乔德Vliegher，信息系统的负责人，在说新闻稿此周。

该公司的首席财务官(CFO)Eivind Kallevik也表示，该公司不打算支付黑客的赎金需求，并已开始从备份中恢复其IT基础设施。

总的来说，这起事件被水电官员描述为灾难性的。勒索软件影响了Norsk Hydro的生产和办公IT系统。

在事件的后果中，管理生产设备的系统将其数据加密并与公司网络断开连接，从而阻止Norsk Hydro员工管理工厂设备。

该公司改用手动操作，这不影响生产，但确实减缓了工厂产量，并导致一些临时停工，因为员工想出了最好的工作方式。

但最大的影响是Norsk Hydro的办公室IT基础设施。在周二和周四举行的两次新闻发布会上，Kallevik表示，无法获得客户订单是他们在保持生产线运转方面必须应对的最大障碍。

Kallevik说，欧洲和美国的工厂受影响最大，特别是生产挤压和轧制铝产品的部门。根据昨天提供的状态更新，在这些工厂中，员工在连接生产设备时遇到问题，并且经常发生停工和生产线重启。

Imge：Norsk Hydro

Norsk Hydro执行官拒绝提供有关事件本身的详细信息，理由是正在进行的执法调查。

然而，有足够的信息从其他来源泄露到互联网上，以寻找一些非常合理的理论和对Norsk Hydro内部发生的事情的解释 - 例如来自信息安全专家Kevin Beaumont的信息。

基于在聚合恶意软件扫描程序服务VirusTotal上上传的勒索软件样本，并根据对样本中发现的功能的分析，Norsk Hydro事件似乎发生在黑客攻击公司网络并横向移动直到他们获得访问Active Directory之后服务器。

Beaumont说，LockerGoga勒索软件缺乏WannaCry，NotPetya或Bad Rabbit中发现的自我传播功能，而且许多Norsk Hydro工厂同时受到影响的唯一方法就是黑客使用该公司的中央Active Directory服务器推送同时向Norsk Hydro的所有工作站提供勒索软件。

这位英国研究人员还指出，LockerGoga勒索软件的编码速度非常快，利用了“加密过程中的每个CPU内核和线程”。

他在昨天发表的一项分析中表示，“在几分钟内，平均系统就是吐司。”

此外，勒索软件还禁用了所有受感染系统上的网卡，并更改了本地管理员帐户的密码。这两项操作都是为了防止恢复操作，例如从远程服务器推出备份以快速恢复受感染的系统。

因此，需要手动将备份部署到每台受影响的PC。

部署勒索软件后，Hydro员工可以做的唯一事情是使用他们的本地非管理员帐户登录受感染的工作站，他们会在屏幕上看到LockerGoga勒索信息。

图片来源：Kevin Beaumont

Beaumont(有充分记录的)当天可能在Hydro内部发生的事情的理论可以通过挪威计算机应急响应小组(NorCERT)在事件当天发出的安全警报得到一定程度的证实，警告公司通过使用LockerGoga勒索软件的活动目录。

Norsk Hydro公司是1月下旬在法国工程咨询公司Altran Technologies网络上发现恶意软件后，第二家被LockerGoga勒索软件感染的大公司。

虽然大多数信息安全专家将LockerGoga勒索软件感染归类为与网络犯罪有关的事件，但骗子试图从被黑客入侵的公司勒索钱财，还有另一种理论慢慢形成。

该理论基于网络安全公司思科Talos的博客文章，其中强调了一些LockerGoga功能特定于雨刷(破坏性)恶意软件而不是勒索软件。一些安全研究人员现在将Norsk Hydro攻击视为一个民族国家的黑客组织，该组织注意到它已经被检测到并决定通过在Hydro的网络上部署LockerGoga来掩盖他们的存在，试图愚弄事件响应者。然而，这只是一个理论，没有任何支持证据，主要是在另一家挪威公司云提供商Visma上个月承认遭到中国黑客攻击之后形成的。