Så fungerar viruset som angripit Norsk Hydro
Norsk Hydro utsattes natten till tisdag för ett stort cyberangrepp. Hackare låste företagets datasystem och krävde en lösensumma för att låsa upp dem. Nu pågår en internationell klappjakt för att spåra hackarna. Ännu går ett affärsområde bara på halvfart.
Hydro rapporterade på torsdagseftermiddagen (21 mars) att man har funnit orsaken till problemen och man har hittat ett "botemedel". Tillsammans med externa specialister arbetar Hydros IT-chefer nu för att få virusinfekterade system tillbaka i normal drift.
– Experter från Microsoft och andra IT-säkerhetsföretag har flugits in för att hjälpa Hydro att på ett systematiskt sätta vidta alla nödvändiga åtgärder för att få affärskritiska system tillbaka i normal funktion, säger Jo De Vliegher, chef för Information Systems.
Det har också skett framsteg sedan onsdagen. De flesta produktionsanläggningarna är i normal drift, men för vissa områden finns det fortfarande störningar.
Primärmetall rapporterar att produktionen är mestadels som vanligt, men med högre grad av manuell drift än vanligt.
Valsade produkter har, med några få undantag, normal produktion. Affärsområdet Extruded Solutions, alltså formpressad aluminium, kör nu med ungefär hälften av normal kapacitet. Det har gjorts omstarter på en del fabriker. Fler ska göras de närmaste dagarna.
Hydro vet dock fortfarande inte när allt är tillbaka till det normala eller vilken finansiell skada det orsakat.
Norska public service-bolaget NRK har en längre artikel på sin sajt där de berättar ingående om hur den typen av ransomeware som har använts mot Norsk Hydro fungerar.
I korthet går det till så här, berättar datasäkerhetsföretaget Trend Micro:
Viruset LockerGoga kan ta sig in i ett nätverk på olika sätt, bland annat genom ett mejl som någon på företaget öppnar och ändrar lösenordet. Viruset försöker logga alla användare i nätverket och döljer sig sedan i en tillfällig mapp.
Därefter krypteras alla filer lagrade på datorer och anslutna servrar - word-dokument, Powerpoint-filer, PDF-filer, Excel-filer, databaser och videor. Viruset kommer också att försöka ta bort säkerhetskopior. När en fil har låsts markeras den med namnet "locked".
Slutligen lägger viruset en textfil på skrivbordet som anger vad företaget måste göra för att få tillbaka kontroller över datasystemen. Där meddelas också att försök att kringgå krypteringen, stänga av datorerna eller flytta filer kan skada filerna på ett oåterkalleligt sätt.
Källa: https://www.nrk.no/norge/slik-fungerer-losepengeviruset-som-rammet-hydro-1.14481782