Norsk Hydro不會支付贖金需求，也會從備份中恢復

微軟員工抵達挪威幫助Norsk Hydro在勒索軟件攻擊后恢復。

在本周二遭受致命的勒索軟件襲擊之后，鋁生產商Norsk Hydro正在慢慢開始從事件中恢復過來。

安全

'100個獨特的漏洞和計數'用于最新的WinRAR安全漏洞

網絡安全：不要讓小東西給你帶來大問題

為什么安全性是企業云采用的首要障礙[混合云電視]

紅隊幫助保護開源軟件

“微軟和其他IT安全合作伙伴有專家空運來幫助海德魯采取一切必要行動，以系統的方式來獲得關鍵業務系統重新正常運行，”喬德Vliegher，信息系統的負責人，在說新聞稿此周。

該公司的首席財務官(CFO)Eivind Kallevik也表示，該公司不打算支付黑客的贖金需求，并已開始從備份中恢復其IT基礎設施。

總的來說，這起事件被水電官員描述為災難性的。勒索軟件影響了Norsk Hydro的生產和辦公IT系統。

在事件的后果中，管理生產設備的系統將其數據加密并與公司網絡斷開連接，從而阻止Norsk Hydro員工管理工廠設備。

該公司改用手動操作，這不影響生產，但確實減緩了工廠產量，并導致一些臨時停工，因為員工想出了最好的工作方式。

但最大的影響是Norsk Hydro的辦公室IT基礎設施。在周二和周四舉行的兩次新聞發布會上，Kallevik表示，無法獲得客戶訂單是他們在保持生產線運轉方面必須應對的最大障礙。

Kallevik說，歐洲和美國的工廠受影響最大，特別是生產擠壓和軋制鋁產品的部門。根據昨天提供的狀態更新，在這些工廠中，員工在連接生產設備時遇到問題，并且經常發生停工和生產線重啟。

Imge：Norsk Hydro

Norsk Hydro執行官拒絕提供有關事件本身的詳細信息，理由是正在進行的執法調查。

然而，有足夠的信息從其他來源泄露到互聯網上，以尋找一些非常合理的理論和對Norsk Hydro內部發生的事情的解釋 - 例如來自信息安全專家Kevin Beaumont的信息。

基于在聚合惡意軟件掃描程序服務VirusTotal上上傳的勒索軟件樣本，并根據對樣本中發現的功能的分析，Norsk Hydro事件似乎發生在黑客攻擊公司網絡并橫向移動直到他們獲得訪問Active Directory之后服務器。

Beaumont說，LockerGoga勒索軟件缺乏WannaCry，NotPetya或Bad Rabbit中發現的自我傳播功能，而且許多Norsk Hydro工廠同時受到影響的唯一方法就是黑客使用該公司的中央Active Directory服務器推送同時向Norsk Hydro的所有工作站提供勒索軟件。

這位英國研究人員還指出，LockerGoga勒索軟件的編碼速度非常快，利用了“加密過程中的每個CPU內核和線程”。

他在昨天發表的一項分析中表示，“在幾分鐘內，平均系統就是吐司。”

此外，勒索軟件還禁用了所有受感染系統上的網卡，并更改了本地管理員帳戶的密碼。這兩項操作都是為了防止恢復操作，例如從遠程服務器推出備份以快速恢復受感染的系統。

因此，需要手動將備份部署到每臺受影響的PC。

部署勒索軟件后，Hydro員工可以做的唯一事情是使用他們的本地非管理員帳戶登錄受感染的工作站，他們會在屏幕上看到LockerGoga勒索信息。

圖片來源：Kevin Beaumont

Beaumont(有充分記錄的)當天可能在Hydro內部發生的事情的理論可以通過挪威計算機應急響應小組(NorCERT)在事件當天發出的安全警報得到一定程度的證實，警告公司通過使用LockerGoga勒索軟件的活動目錄。

Norsk Hydro公司是1月下旬在法國工程咨詢公司Altran Technologies網絡上發現惡意軟件后，第二家被LockerGoga勒索軟件感染的大公司。

雖然大多數信息安全專家將LockerGoga勒索軟件感染歸類為與網絡犯罪有關的事件，但騙子試圖從被黑客入侵的公司勒索錢財，還有另一種理論慢慢形成。

該理論基于網絡安全公司思科Talos的博客文章，其中強調了一些LockerGoga功能特定于雨刷(破壞性)惡意軟件而不是勒索軟件。一些安全研究人員現在將Norsk Hydro攻擊視為一個民族國家的黑客組織，該組織注意到它已經被檢測到并決定通過在Hydro的網絡上部署LockerGoga來掩蓋他們的存在，試圖愚弄事件響應者。然而，這只是一個理論，沒有任何支持證據，主要是在另一家挪威公司云提供商Visma上個月承認遭到中國黑客攻擊之后形成的。