REAKCE NA INCIDENTY • DFIR • DEŠIFROVÁNÍ

vaše soubory
jsou zašifrovány.
máme
práce.

Když dojde k narušení vaší sítě, omezíme rozsah poškození, obnovíme data ze záloh nebo pomocí výzkumu dešifrovacích nástrojů, vyhledáme útočníka ve vaší síti a zabezpečíme to, co zbylo — aby se stejné dveře už nikdy neotevřely.

AKTIVOVAT REAKCI → Spustit vlastní třídění

97 %

Obětí získá zpět svá data

1,53 mil.

Průměrné náklady na obnovu dat na jeden incident

Obnovení provozu do týdne

Nebyly nalezeny žádné zálohy

Poslední známý repozitář: nedostupný

kolik ve skutečnosti stojí
incident ve skutečnosti stojí.

Na základě našich interních údajů o reakcích na incidenty a ověřených veřejných zpráv z let 2024–2025 – z různých odvětví a různých geografických oblastí.

5,08 mil.

Průměrné celkové náklady na incident s ransomwarem nebo vydíráním

241

Průměrný počet dní potřebných k odhalení a zvládnutí narušení bezpečnosti bez specializovaného týmu pro reakci na incidenty

Průměrná doba výpadku provozu na jeden útok ransomwarem

Střední počet dní od počátečního vniknutí do zašifrování dat

Útoků ransomwarem stále končí zašifrováním dat

U 28 % obětí, jejichž data byla zašifrována, došlo také k exfiltraci dat za účelem vydírání

Vlastní diagnostika // 4 otázky • 30 sekund

než začnete panikařit,
zhodnoťte situaci.

Odpovězte na čtyři otázky. Vygenerujeme aktuální skóre závažnosti a první čtyři kroky, které by váš tým měl podniknout hned teď – než se někdo v hněvu dotkne klávesnice.

OTÁZKA 01 / 04

Co jste zjistili jako první?

To, co jste zjistili jako první, určuje, kolik času máte.

OTÁZKA 02 / 04

Jak daleko se to rozšířilo?

Spočítejte hostitele s potvrzeným šifrováním nebo manipulací.

OTÁZKA 03 / 04

Stav zálohování?

„Neměnný“ znamená skutečně neměnný – zámek objektu, air-gap nebo offline.

OTÁZKA 04 / 04

Známky krádeže dat?

Exfiltrace mění úlohu obnovy na úlohu odhalení.

VÝSLEDEK

Třídění dokončeno.

Toto je hrubé skóre. Analytik PWN-ALL může výsledek upřesnit během 15 minut na response bridge.

OTEVŘÍT RESPONSE BRIDGE →

▸ ŽIVÝ VERDIKT

čeká na zadání

Odpovězte na otázky vlevo. Závažnost se aktualizuje v reálném čase.

00255075100

▸ První čtyři akce

Odpojte postižené hosty od sítě — nevypínejte je.
Zachovejte stínové kopie paměti a svazků alespoň na jednom hostiteli.
Zrušte přihlašovací údaje použité v posledních 72 hodinách; obměňte účty služeb.
Otevřete komunikační most s PWN•ALL, než se dotknete záloh.

Pipeline odezvy

čtyři fáze.
jeden most.

Každý incident zpracováváme na jediném, auditovaném mostu reakce – váš tým, naši analytici DFIR, sdílená časová osa a potvrzení o každém kroku.

FÁZE 01 // 0–60 min

◉

Zastavení

Izolace na úrovni sítě bez zničení důkazů. Zastavíme laterální pohyb na přepínači, zablokujeme C2, zmrazíme privilegované účty a zachováme paměť na pivotních hostech.

Průměrná doba setrvání před šifrováním: 4 dny. Časové okno pro omezení se měří v hodinách, nikoli ve směnách.

FÁZE 02 // 1–6 hod

⬢

Rozsah

Forenzní třídění všech zašifrovaných aktiv, vektorů počátečního přístupu, stop perzistence a exfiltrace. Identifikujeme kmen, TTP operátora a dobu setrvání.

Bez specializovaného týmu pro reakci na incidenty (IR) trvá průměrný životní cyklus narušení 241 dní od vniknutí po zadržení.

FÁZE 03 // 6–48 hodin

⟁

Obnova

Obnova v čistém prostředí, kontrola integrity záloh, porovnání dešifrovacího klíče s naší interní knihovnou a – v případě existence klíčů – postupné dešifrování produkčních dat.

Průměrná doba výpadku způsobená ransomwarem činí 24 dní. Připravené organizace tuto dobu zkracují na méně než týden.

FÁZE 04 // 2–14 dní

✚

Zabezpečení

Odstranění příčin, vyčištění identit, zavedení EDR/MFA tam, kde chybí, a písemná zpráva, kterou vaše představenstvo, pojistitel a regulační orgán skutečně přečtou.

32 % incidentů s ransomwarem začíná zneužitím zranitelnosti. Fáze 4 zavírá dveře, kterými se dostaly dovnitř.

Co řešíme

každý kmen má
slabé místo. My ho najdeme.

Naše knihovna výzkumu dešifrovacích nástrojů a informace o vyjednávání jsou aktualizovány na základě skutečných případů, které každý týden uzavíráme. Pokud existuje způsob, jak obnovit data bez placení, najdeme ho jako první.

RODINA // ZAMĚŘENO NA WINDOWS

LockBit • BlackCat • Play

Cílování na řadič domény a Veeam
Vymazání stínové kopie pomocí vssadmin/WMI
Postupné exfiltrace přes MEGA/Rclone
Obnova částečného klíče, kde je to možné

RODINA // HYPERVISOR

Akira • Royal • Rhysida

Zastavení a šifrování ESXi na úrovni VMFS
Ransomware Linux ELF na zařízeních
Obnova svazků na úrovni datového úložiště
Audit integrity na straně hypervizoru

RODINA // POUZE VYDÍRÁNÍ

Cl0p • Karakurt • RansomHub

Čistá krádež dat, bez šifrování
Monitorování a odstraňování stránek s úniky
Koordinace právního zveřejnění
Komunikace s operátory řízená námi

Response bridge

analytik už
sleduje čas.

V okamžiku, kdy zavoláte, se spustí sdílený most s akcemi opatřenými časovým razítkem, úschovou důkazů a živou tabulkou závažnosti. Vaše pojišťovna a právní tým se mohou připojit v režimu pouze pro čtení.

hodin

minut

sekund

◉

živě

00:02analyst-04se připojil k mostu

00:05 hostdc01 izolován na přepínači

00:11pokus o laterální pohyb zablokován — 10.4.2.88 → 10.4.2.12

00:18zajištěn snímekpaměti— 4 hostitelé

00:26shoda kmenů: lockbit 3.x (87 %)

00:34záložní repozitář neporušený — veeam01 nedotčený

00:41návrh plánuobnovy— čeká na schválení

Žádná tajemství. Žádné mlčení.

Každý incident PWN-ALL probíhá na stejné šabloně mostu, kterou již akceptují vaše regulační orgány a kybernetický pojistitel. Vidíte to, co vidíme my. Schvalujete každou destruktivní akci. Nic není šifrováno, mazáno ani placeno bez vašeho souhlasu.

Po zvládnutí situace odejdete s reportem o řetězci důkazů, časovou osou mapovanou podle MITRE ATT&CK a plánem zabezpečení na 30/60/90 dní – ne s PDF plným screenshotů.

Často kladené

otázky
, které lidé kladou ve 3 hodiny ráno.

Měli bychom zaplatit výkupné?

Téměř nikdy to není správný první krok. Vyjednáváme pouze jako poslední možnost, zatímco se vyhodnocují možnosti obnovy, a pouze s právním a sankčním schválením. V ~94 % našich případů je úplná nebo částečná obnova možná bez platby.

Jak rychle můžete být na lince?

Naše SLA je do 60 minut od prvního hovoru s analytikem na sdíleném mostě s vaším týmem. Pokyny k omezení šíření obvykle začínají během prvních 15 minut, zatímco paralelně probíhá vymezení rozsahu.

Všechno jsme již vypnuli. Je to špatné?

Není to ideální – volatilní paměť obsahuje klíče, vložené procesy a stopy operátora –, ale je to obnovitelné. Nic nezapínejte, dokud nebudeme na lince. Máme postupy pro cold-triage.

Spolupracujete s naším pojistitelem kybernetických rizik?

Ano. PWN-ALL je strukturován tak, aby se zapojil do standardních panelů IR. Poskytujeme pojišťovně akce s časovým razítkem, kontrolu nákladů a závěrečnou zprávu ve formátu, který většina pojišťoven akceptuje.

Co když byla data nejen zašifrována, ale také odcizena?

Exfilaci posuzujeme samostatně: co bylo odcizeno, odkud a na jak dlouho. Poté koordinujeme zveřejnění, právní kroky a – v případě potřeby – monitorování stránek, kde došlo k úniku, a komunikaci s operátory.

Můžete zabránit dalšímu útoku?

To je fáze 4. Odstranění příčiny, hygiena identit, zavedení EDR/MFA a nepřetržité monitorování – v kombinaci s VulnScan a ConnGuard pro perimetr.

24 / 7 / 365

nečekejte na
pondělní ráno.

S každou hodinou, o kterou se zpozdíte, se zálohy mažou, důkazy ztrácejí platnost a operátoři se dostávají hlouběji. PWN-ALL reaguje v pracovní dny, o víkendech i svátcích — čas se o to nestará a my také ne.

VOLEJTE +971 58 594 6337 → Dotaz na smlouvu

SIGNÁL DOSTUPNÝ NA STEJNÉM ČÍSLE
50 % útoků stále končí šifrováním. Nečekejte, až zjistíte, do které poloviny patříte.

vaše soubory jsou zašifrovány. máme práce.

kolik ve skutečnosti stojíincident ve skutečnosti stojí.

než začnete panikařit,zhodnoťte situaci.