警方调查Norsk Hydro Ransomware攻击

挪威铝生产商Norsk Hydro表示，由于本公司准备重新启动影响IT系统，因此由于手工解决方案而导致生产继续正常。

该公司表示，它试图尽可能透明，但承认它仍然没有关于在3月19日星期二的凌晨检测到的赎金软件攻击的所有答案。

“昨天对我们所有人来说是一个忙碌的一天，我们全球组织在整个组织中都有相当的不确定性，关于这种恶意软件如何影响我们的人员，商业和客户，”Norsk Hydro的首席财务官Eivind Kallevik在奥斯陆告诉新闻发布会。

他祝贺该公司的35,000名员工，遍布40个国家和五个不同的商业领域，以应对以“极端”的专业精神，速度和决心的攻击，并感谢“有关当局”的支持。

Kallevik表示，挪威国家警察调查服务正在调查赎金软件攻击。

因此，他说，他无法回答关于攻击的任何问题，例如潜在的威胁演员，原籍国，威胁演员在检测到网络内部已经多长时间，以及哪些系统被访问了。

攻击后的一天，Kallevik表示，该公司还没有关于恢复其所有IT系统的固定时间表，但他说过一夜之间的进展，包括识别赎金软件的签名，以启用清理过程开始。

Kallevik表示，该公司计划在一天中再次运行一些受影响的系统，以提取客户数据和订单继续正常交货。

他重申，Norsk Hydro的恢复策略是从所有受影响的系统中删除勒索软件并从其备份系统恢复数据。

Kallevik表示，若干网络安全公司正在支持调查和恢复过程，虽然评估袭击事业的财务影响为时，但他说没有迹象表明，诺斯克水电因送货方式继续持续。

询问了网络保险，他表示，该公司拥有“良好而强大”的网络保险政策，并拥有涵盖业务中断的“良好的国际保险公司”。

Kallevik没有提供赎金软件的任何细节，但挪威国家安全机构（NSM）将其确定为Lockergoga，这是一款对Lockergoga的攻击，根据路透社的说法与1月份的法国工程咨询Altran Technologies有关。

根据NORCERT的NORCERT，诺曼特网上攻击单位，根据NORCERT，没有对其他挪威公司或公共机构的类似攻击的迹象，这描述了对Norsk Hydro的攻击作为“孤立的事件”。

Lockercoga能够加密19种常见文件类型，包括具有扩展的文件.doc，.dot，.docx，.xlm，.ppt，.pps和.pdf，并且一旦完成，所有目标文件都会通过扩展程序加密.Locked根据Nozomi Networks Labs的说法，它已经分析了勒索软件。

在加密阶段结束时，研究人员表示，一个名为Readme-Now.txt的文件丢弃了文件系统。该文本通知收件人其数据已加密。

该消息声称需要一个特殊的解码器来恢复数据并警告任何尝试使用第三方软件的尝试将导致数据的“不可逆转的破坏”。

该消息继续为勒索软件受害者提供用于了解赎制软件受害者的链接，以了解它们在Bitryping工具中支付比特币所需的需求。

据研究人员介绍，Lockercoga无法将自己传播到其他目标，这引发了攻击者必须对Norsk Hydro的IT系统进行物理访问。

“它似乎实施了一些反分析技术来隐藏自身分析师。例如，它似乎检测到虚拟机的存在，并且具有从尝试避免样本收集的文件系统删除自己的能力，“Nozomi研究人员说。

由于缺乏定制和复杂的能力，如指挥和控制服务器和信标，研究人员表示，洛杉矶的目的似乎是破坏而不是间谍活动。