Should we pay the ransom?

Not before containment and evidence preservation. ChainBreak first scopes the incident, protects backups and logs, checks for decryptor options, and gives you a defensible recovery path.

Can you recover files without backups?

Sometimes. Recovery depends on the ransomware family, encryption implementation, remaining shadow copies, partial files, endpoint artifacts, and available decryptor research.

Do you work with our cyber-insurer?

Yes. ChainBreak can provide timestamped actions, cost controls, and final incident reports in formats commonly accepted by cyber-insurance carriers.

What if data was stolen as well as encrypted?

We scope exfiltration separately, identify what was taken, coordinate disclosure support, preserve evidence, and provide leak-site monitoring where appropriate.

استعادة البيانات بعد هجمات برامج الفدية والاستجابة للحوادث

هل هناك حادث جاري؟ اتصل على +971 58 594 6337 · خدمة Signal متاحة · جسر استجابة على مدار الساعة متوسط الوقت اللازم لاحتواء الحادث: 47 دقيقة LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — تم تحديث مكتبة أدوات فك التشفير لا تقم بإيقاف تشغيل الأجهزة المصابة — احتفظ بالذاكرة حادث نشط؟ اتصل على +971 58 594 6337 · إشارة متاحة · جسر استجابة على مدار الساعة متوسط الوقت اللازم لاحتواء المشكلة: 47 دقيقة LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — تم تحديث مكتبة برامج فك التشفير لا تقم بإيقاف تشغيل الأجهزة المصابة — حافظ على الذاكرة

التكلفة الحقيقية للانتظار

ما هي التكلفة الحقيقية
.

مستمد من بيانات الاستجابة للحوادث الداخلية لدينا والتقارير العامة التي تم التحقق منها خلال الفترة 2024-2025 — في قطاعات متعددة ومناطق جغرافية متعددة.

5.08 مليون دولار

متوسط التكلفة الإجمالية لحادث ابتزاز أو هجوم ببرنامج فدية

241

متوسط عدد الأيام اللازمة لاكتشاف الاختراق واحتوائه في غياب فريق متخصص في الاستجابة للأحداث الأمنية

متوسط عدد أيام التوقف التشغيلي لكل هجوم ببرنامج الفدية

متوسط عدد الأيام من الاختراق الأولي إلى تحميل شحنة التشفير

من هجمات برامج الفدية لا تزال تنتهي بتشفير البيانات

كما تعرضت بيانات الضحايا المشفرة للاختراق بهدف الابتزاز

التقييم الذاتي // 4 أسئلة • 30 ثانية

قبل أن تصاب بالذعر،
قم بتقييم الموقف.

أجب عن أربعة أسئلة. سنقوم بحساب درجة خطورة الموقف في الوقت الفعلي ونقدم لك أول أربعة إجراءات يجب على فريقك اتخاذها على الفور — قبل أن يلمس أي شخص لوحة المفاتيح في حالة غضب.

السؤال 01 / 04

ماذا اكتشفت أولاً؟

أول ما يمكن ملاحظته يحدد مقدار الوقت المتاح لديك.

السؤال 02 / 04

إلى أي مدى انتشر الأمر؟

احسب عدد المضيفات التي تم تأكيد تشفيرها أو العبث بها.

السؤال 03 / 04

حالة النسخ الاحتياطي؟

"غير قابل للتغيير" يعني غير قابل للتغيير حقًا — قفل الكائن، فجوة هوائية، أو غير متصل بالإنترنت.

السؤال 04 / 04

علامات سرقة البيانات؟

يؤدي التسريب إلى تحويل مهمة الاستعادة إلى مهمة الكشف.

النتيجة

اكتمل الفرز.

هذه نتيجة أولية. يمكن لمحلل في ChainBreak تضييق نطاقها في غضون 15 دقيقة على منصة "Response Bridge".

افتح جسر الاستجابة →

▸ الحكم المباشر

في انتظار الإدخال

أجب عن الأسئلة الموجودة على اليسار. يتم تحديث درجة الخطورة في الوقت الفعلي.

00255075100

▸ الإجراءات الأربعة الأولى

اعزل الأجهزة المتأثرة عن الشبكة — لا تقم بإيقاف تشغيلها.
احتفظ بنسخ الظل للذاكرة ووحدات التخزين على مضيف واحد على الأقل.
قم بإلغاء بيانات الاعتماد المستخدمة في آخر 72 ساعة؛ وقم بتدوير حسابات الخدمة.
افتح جسر استجابة مع PWN•ALL قبل لمس النسخ الاحتياطية.

مسار الاستجابة

أربع مراحل.
جسر واحد.

نقوم بمعالجة كل حادثة عبر جسر استجابة واحد خاضع للتدقيق — فريقك، ومحللو DFIR لدينا، وجدول زمني مشترك، وإيصالات في كل خطوة.

المرحلة 01 // 0–60 دقيقة

◉

احتواء

عزل على مستوى الشبكة دون إتلاف الأدلة. نوقف الحركة الجانبية عند المحول، ونحظر C2، ونجمد الحسابات ذات الامتيازات، ونحافظ على الذاكرة على المضيفات المحورية.

متوسط وقت البقاء قبل التشفير: 4 أيام. تُقاس فترة الاحتواء بالساعات، وليس بالنوبات.

المرحلة 02 // 1–6 ساعات

⬢

النطاق

التقييم الجنائي لكل الأصول المشفرة، وناقل الوصول الأولي، والاستمرارية، وآثار التسريب. نحدد السلالة، وتكتيكات المشغل، ووقت البقاء.

بدون فريق مخصص للاستجابة للأحداث الأمنية، يستغرق دورة حياة الاختراق في المتوسط 241 يومًا من الاختراق إلى الاحتواء.

المرحلة 03 // 6–48 ساعة

⟁

الاستعادة

إعادة البناء في غرفة نظيفة، وفحص سلامة النسخ الاحتياطية، ومطابقة أداة فك التشفير مع مكتبتنا الداخلية، و— في حالة وجود مفاتيح — فك تشفير بيانات الإنتاج على مراحل.

يبلغ متوسط وقت التعطل بسبب برامج الفدية 24 يومًا. وتقلل المؤسسات المستعدة هذه المدة إلى أقل من أسبوع.

المرحلة 04 // 2–14 يوم

✚

التقوية

معالجة الأسباب الجذرية، وتنظيف الهوية، ونشر EDR/MFA حيثما كان مفقودًا، وتقرير مكتوب يمكن لمجلس الإدارة وشركة التأمين والجهة التنظيمية قراءته بالفعل.

32% من حوادث برامج الفدية تبدأ باستغلال ثغرة أمنية. المرحلة 4 تغلق الباب الذي سمح بدخولها.

ما نتعامل معه

كل سلالة لها
نكتشفها.

يتم تحديث مكتبة أبحاثنا الخاصة بفك التشفير ومعلومات التفاوض من الحالات الحقيقية التي ننهيها كل أسبوع. إذا كانت هناك طريقة للاستعادة دون دفع أي مبلغ، فإننا نكتشفها أولاً.

العائلة // تركز على ويندوز

LockBit • BlackCat • Play

استهداف وحدة التحكم بالمجال و Veeam
مسح النسخة الاحتياطية عبر vssadmin/WMI
التسريب المرحلي عبر MEGA/Rclone
استعادة المفاتيح الجزئية حيثما أمكن

العائلة // برنامج المراقبة

Akira • Royal • Rhysida

إيقاف ESXi وتشفيره على مستوى VMFS
برنامج الفدية Linux ELF على الأجهزة
استعادة وحدة التخزين على مستوى مخزن البيانات
تدقيق سلامة جانب برنامج Hypervisor

العائلة // الابتزاز فقط

Cl0p • Karakurt • RansomHub

سرقة البيانات فقط، بدون تشفير
مراقبة مواقع التسريب وإزالتها
تنسيق الإفصاح القانوني
إدارة اتصالات المشغل من قبلنا

جسر الاستجابة

أحد المحللين
يراقب الساعة.

في اللحظة التي تتصل فيها، يتم إنشاء جسر مشترك مع إجراءات موثقة بختم زمني، وحفظ الأدلة، ولوحة خطورة مباشرة. يمكن لشركة التأمين وفريقك القانوني الانضمام للقراءة فقط.

ساعات

دقيقة

ثانية

◉

مباشر

00:02انضم المحلل-04 إلى الجسر

00:05تم عزل المضيف dc01 عند المحول

00:11تم حظر محاولة جانبية — 10.4.2.88 → 10.4.2.12

00:18تم تأمين لقطة الذاكرة — 4 مضيفات

00:26تطابق السلالة: lockbit 3.x (87%)

00:34مستودع النسخ الاحتياطي سليم — veeam01 لم يتم المساس به

00:41مسودة خطة الاستعادة — في انتظار الموافقة

لا غموض. لا صمت.

تعمل كل حادثة من حوادث ChainBreak على نفس نموذج الجسر الذي تقبله الجهات التنظيمية وشركات التأمين السيبراني بالفعل. أنت ترى ما نراه. أنت توافق على كل إجراء تدميري. لا يتم تشفير أو حذف أو دفع أي شيء دون موافقتك.

بعد احتواء الحادث، ستحصلون على تقرير سلسلة الحراسة، وجدول زمني مرسوم وفقًا لنموذج MITRE ATT&CK، وخطة تقوية للأمن لمدة 30/60/90 يومًا — وليس ملف PDF مليئًا بلقطات الشاشة.

الأسئلة

الأسئلة
التي يطرحها الناس في الساعة 3 صباحًا.

هل يجب أن ندفع الفدية؟

ليست الخطوة الأولى الصحيحة أبدًا. نحن نتفاوض فقط كوسيلة أخيرة أثناء تقييم خيارات الاستعادة، وفقط بعد الحصول على الموافقة القانونية وموافقة الجهات المختصة. في حوالي 94٪ من حالاتنا، يمكن الاستعادة الكاملة أو الجزئية دون دفع.

ما مدى سرعة وصولكم إلى الجسر؟

تنص اتفاقية مستوى الخدمة (SLA) الخاصة بنا على الوصول في غضون 60 دقيقة من أول اتصال إلى محلل على جسر مشترك مع فريقكم. عادةً ما تبدأ إرشادات الاحتواء في غضون أول 15 دقيقة بينما يتم تحديد النطاق بالتوازي.

لقد قمنا بالفعل بإيقاف تشغيل كل شيء. هل هذا أمر سيئ؟

هذا ليس مثاليًا — فالذاكرة المتطايرة تحتوي على مفاتيح وعمليات محقونة وآثار للمشغل — ولكن يمكن استعادتها. لا تقم بتشغيل أي شيء حتى نكون على الخط. لدينا إجراءات للفرز البارد.

هل تعملون مع شركة التأمين السيبراني الخاصة بنا؟

نعم. تم تصميم ChainBreak ليتكامل مع لوحات IR القياسية. نقدم لشركة التأمين إجراءات موثقة بختم زمني، وضوابط للتكلفة، وتقريرًا نهائيًا بالصيغة التي تقبلها معظم شركات التأمين.

ماذا لو تمت سرقة البيانات بالإضافة إلى تشفيرها؟

نقوم بتحديد نطاق التسريب بشكل منفصل: ما الذي تم أخذه، ومن أين، ولمدة كم. ثم نقوم بتنسيق الإفصاح، والشؤون القانونية، و— عند الاقتضاء — مراقبة مواقع التسريب واتصالات المشغل.

هل يمكنكم منع حدوث ذلك مرة أخرى؟

هذه هي المرحلة الرابعة. معالجة الأسباب الجذرية، وتنظيف الهوية، ونشر EDR/MFA، والمراقبة المستمرة — مقترنة بـ VulnScan و ConnGuard للحماية الخارجية.

24 / 7 / 365

لا تنتظر
صباح يوم الاثنين.

كل ساعة تتأخر فيها، يتم مسح النسخ الاحتياطية، وتنتهي صلاحية الأدلة، ويتعمق المخترقون أكثر. تستجيب ChainBreak في أيام العمل، وعطلات نهاية الأسبوع، والأعياد — فالوقت لا يهتم، ونحن أيضًا.

اتصل على +971 58 594 6337 → استفسار عن العقد

إشارة متاحة على نفس الرقم
50% من الهجمات لا تزال تنتهي بالتشفير. لا تنتظر لتكتشف أي نصف.

ما هي التكلفة الحقيقية.

قبل أن تصاب بالذعر،قم بتقييم الموقف.