حادثه فعال دارید؟ تماس بگیرید: +971585946337 · سیگنال موجود است · پل پاسخگویی ۲۴/۷ میانگین زمان مهار: ۴۷ دقیقه LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — کتابخانه رمزگشایی به‌روزرسانی شد سرورهای آلوده را خاموش نکنید — حافظه را حفظ کنید حادثه فعال؟ تماس بگیرید: +971585946337 · سیگنال موجود است · پل پاسخگویی 24/7 میانگین زمان مهار: ۴۷ دقیقه لاک‌بیت / بلک‌کت / آکیرا / پلی / ریسیدا — کتابخانه رمزگشایی به‌روزرسانی شد سرورهای آلوده را خاموش نکنید — حافظه را حفظ کنید
پاسخ به حادثه • بازیابی دیجیتال پس از فاجعه (DFIR) • رمزگشایی

فایل‌های شما
رمزگذاری شده‌اند.
ما داریم
کار برای انجام دادن داریم.

ChainBreak واحد بازیابی باج‌افزار PWN•ALL است. وقتی خط دفاعی شما شکسته می‌شود، ما دامنه آسیب را مهار می‌کنیم، داده‌ها را از پشتیبان‌ها یا تحقیقات روی رمزگشایی بازیابی می‌کنیم، عامل را در شبکه شما شکار می‌کنیم و آنچه باقی مانده را مستحکم می‌سازیم — تا آن در هرگز دوبار باز نشود.

واکنش را فعال کنید اجرای خودسنجی
۹۷٪
۹۷٪ از قربانیان داده‌های خود را بازیابی می‌کنند
۱.۵۳ میلیون دلار
هزینهٔ متوسط بازیابی به ازای هر حادثه
۵۳٪
بازگشت به آنلاین در عرض یک هفته
~/fileserver/share — root@dc01
◉ آلوده
root@dc01:~/fileserver$ ls -la
drwxr-xr-x 14 root root 4096 Apr 12 03:41 .
── Q3-financials.xlsx.[lockbit]
── client-contracts.pdf.[lockbit]
── payroll-2026.db.[lockbit]
── backup-mar.tar.gz.[lockbit]
── !RESTORE-FILES!.txt
root@dc01:~$ cat !RESTORE-FILES!.txt
>> شبکه شما رمزگذاری شده است.
>> ۲.۴ ترابایت خارج شده است. ۷۲ ساعت برای پرداخت فرصت دارید.
>> کیف پول: bc1q••••••••••••••••••••••
root@dc01:~$ chainbreak --activate
[✓] پل پاسخ باز شد — analyst-04 پیوست شد
[✓] اسنپ‌شات‌های حافظه در ۴ میزبان ایمن‌سازی شدند
[✓] حرکت جانبی در سوئیچ اصلی مسدود شد
[✓] کاندیدای رمزگشایی: LockBit 3.x — مطابقت داد
analyst-04@bridge:~$
هزینه واقعی انتظار

چه درمان‌نشده‌ای
یک حادثه در واقع چقدر هزینه دارد.

برگرفته از داده‌های داخلی واکنش به رخداد ما و گزارش‌های عمومی تأییدشده در بازه زمانی ۲۰۲۴–۲۰۲۵ — صنایع و جغرافیای متعدد.

۰۱
۵٫۰۸ میلیون دلار
هزینهٔ کل متوسط یک حادثه باج‌افزاری یا اخاذی
02
۲۴۱
روزهای متوسط برای شناسایی و مهار یک نفوذ بدون تیم واکنش به حوادث
۰۳
۲۴
روزهای میانگین توقف عملیاتی در هر حمله باج‌افزار
04
۴
میانگین روزها از نفوذ اولیه تا بارگیری رمزگذاری
05
۵۰٪
از حملات باج‌افزاری هنوز هم با رمزگذاری داده‌ها پایان می‌یابد
06
۲۸٪
از قربانیانی که داده‌هایشان رمزگذاری شده بود، داده‌ها برای باج‌گیری نیز خارج شد
خودسنجی // ۴ سؤال • ۳۰ ثانیه

قبل از اینکه هول کنید،
فشار انفجار را اندازه بگیرید.

به چهار سؤال پاسخ دهید. ما یک نمره شدت زنده و چهار اقدام اولیه‌ای را که تیم شما باید همین حالا انجام دهد، تولید می‌کنیم — قبل از اینکه کسی در خشم صفحه‌کلید را لمس کند.

سوال ۰۱ / ۰۴
ابتدا چه چیزی را پیدا کردید؟
اولین مورد قابل مشاهده تعیین می‌کند که چقدر زمان دارید.
سؤال ۰۲ / ۰۴
تا چه حد گسترش یافته است؟
سرورهای دارای رمزگذاری یا دستکاری تأییدشده را بشمارید.
سوال ۰۳ / ۰۴
وضعیت پشتیبان‌گیری؟
«غیرقابل تغییر» به معنای واقعاً غیرقابل تغییر است — قفل شیء (object-lock)، فاصله‌ی هوایی (air-gap) یا آفلاین.
سوال ۰۴ / ۰۴
نشانه‌های سرقت داده؟
خارج‌سازی داده‌ها یک عملیات بازیابی را به یک عملیات افشا تبدیل می‌کند.
نتیجه
تریاژ کامل شد.
این یک امتیاز تقریبی است. یک تحلیلگر ChainBreak می‌تواند در عرض ۱۵ دقیقه در پل پاسخ آن را دقیق‌تر کند.
پل پاسخ را باز کنید
▸ حکم زنده
در انتظار ورودی
به سؤالات سمت چپ پاسخ دهید. به‌روزرسانی‌های شدت به‌صورت لحظه‌ای انجام می‌شود.
00۲۵۵۰75۱۰۰

▸ چهار اقدام اول

  1. سرورهای آسیب‌دیده را از شبکه جدا کنید — آنها را خاموش نکنید.
  2. نسخه‌های سایه حافظه و حجم را حداقل روی یک میزبان حفظ کنید.
  3. اعتبارنامه‌های استفاده شده در ۷۲ ساعت گذشته را لغو کنید؛ حساب‌های سرویس را چرخشی کنید.
  4. قبل از دست زدن به پشتیبان‌ها، یک پل پاسخ با PWN•ALL برقرار کنید.
خط لوله پاسخگویی

چهار فاز.
یک پل واحد.

ما هر حادثه را روی یک پل پاسخ‌دهی واحد و حسابرسی‌شده اجرا می‌کنیم — تیم شما، تحلیلگران DFIR ما، یک خط زمانی مشترک و رسید در هر مرحله.

فاز ۰۱ // ۰–۶۰ دقیقه

مهار

ایزوله‌سازی در سطح شبکه بدون از بین بردن شواهد. ما حرکت جانبی را در سوئیچ متوقف می‌کنیم، C2 را مسدود می‌کنیم، حساب‌های دارای امتیاز را منجمد می‌کنیم و حافظه را روی میزبان‌های محوری حفظ می‌کنیم.

میانگین زمان ماندگاری قبل از رمزگذاری: ۴ روز. بازه زمانی مهار در واحد ساعت اندازه‌گیری می‌شود، نه شیفت‌های کاری.
فاز ۰۲ // ۱–۶ ساعت

دامنه

تریاژ قانونی (فورنزیک) هر دارایی رمزگذاری‌شده، بردار دسترسی اولیه، پایداری و ردپای خروج اطلاعات. ما نوع بدافزار، روش‌ها و رویه‌های عملیاتی (TTP) عامل و زمان ماندگاری آن را شناسایی می‌کنیم.

بدون یک تیم واکنش به حادثه (IR) اختصاصی، چرخه عمر متوسط یک نفوذ از زمان ورود تا مهار ۲۴۱ روز به طول می‌انجامد.
فاز ۰۳ // ۶–۴۸ ساعت

بازیابی

بازسازی در محیط ایزوله (Clean-room)، بررسی یکپارچگی نسخه‌های پشتیبان، تطبیق رمزگشا با کتابخانه داخلی ما و — در مواردی که کلیدها موجود باشند — رمزگشایی مرحله‌ای داده‌های تولیدی.

میانگین زمان از کار افتادگی ناشی از باج‌افزار ۲۴ روز است. سازمان‌های آماده این فاصله را به کمتر از یک هفته کاهش می‌دهند.
فاز ۰۴ // ۲–۱۴ روز

سخت‌گیری

اصلاح علت ریشه‌ای، پاکسازی هویت، استقرار EDR/MFA در صورت عدم وجود، و گزارشی مکتوب که هیئت مدیره، بیمه‌گر و ناظر شما واقعاً بتوانند آن را بخوانند.

۳۲٪ از حوادث باج‌افزار با یک آسیب‌پذیری بهره‌برداری‌شده آغاز می‌شوند. فاز ۴ دری را که به آن‌ها اجازه ورود داده بود، می‌بندد.
مسائلی که ما رسیدگی می‌کنیم

هر واریانت یک
نقطه ضعف را پیدا می‌کنیم.

کتابخانه تحقیقاتی رمزگشایی و اطلاعات مذاکره‌ای ما از پرونده‌های واقعی که هر هفته مختومه می‌کنیم به‌روزرسانی می‌شوند. اگر راهی برای بازیابی بدون پرداخت وجود داشته باشد، ابتدا آن را پیدا می‌کنیم.

خانواده // متمرکز بر ویندوز

LockBit • BlackCat • Play

  • هدف‌گیری کنترل‌کننده دامنه و Veeam
  • پاک‌سازی کپی سایه با vssadmin/WMI
  • خروجی‌گیری مرحله‌ای از طریق MEGA/Rclone
  • بازیابی جزئی کلید در صورت امکان
خانواده // هایپروایزر

آکیرا • رویال • ریسیدا

  • ایستایی‌سازی و رمزنگاری ESXi در لایه VMFS
  • باج‌افزار ELF لینوکس روی دستگاه‌ها
  • بازیابی حجم در سطح دیتاستور
  • بازرسی یکپارچگی از سمت هایپروایزور
خانواده // فقط باج‌گیری

Cl0p • Karakurt • RansomHub

  • دزدی صرف داده‌ها، بدون رمزنگاری
  • نظارت بر سایت‌های نشت و حذف آن‌ها
  • هماهنگی افشای قانونی
  • ارتباطات اپراتور توسط ما مدیریت می‌شود
پل پاسخگویی

یک تحلیلگر در حال حاضر
زمان را زیر نظر دارد.

لحظه‌ای که تماس می‌گیرید، یک پل مشترک با اقدامات زمان‌دار، نگهداری شواهد و یک تابلوی زنده شدت حادثه راه‌اندازی می‌شود. بیمه‌گر و تیم حقوقی شما می‌توانند به‌صورت فقط-خواندن به آن بپیوندند.

00
ساعت
۴۷
دقیقه
۱۲
ثانیه
زنده
00:02 تحلیلگر-04 به پل پیوست
00:05 میزبانdc01 در سوییچ ایزوله شد
00:11تلاش جانبی مسدود شد — 10.4.2.88 ← 10.4.2.12
00:18عکس‌برداریحافظهانجام شد — ۴ میزبان
00:26تطبیق با بدافزار: LockBit 3.x (87%)
00:34مخزن پشتیبان سالم — veeam01 دست‌نخورده
00:41پیش‌نویس طرح بازیابی — در انتظار تأیید

نه راز. نه سکوت.

هر حادثه ChainBreak بر اساس همان الگوی پل (bridge template) اجرا می‌شود که ناظران و بیمه‌گر سایبری شما از قبل آن را می‌پذیرند. شما آنچه را که ما می‌بینیم، می‌بینید. شما هر اقدام مخربی را تأیید می‌کنید. هیچ چیزی بدون تأیید شما رمزگذاری، حذف یا پرداخت نمی‌شود.

پس از مهار، شما با یک گزارش زنجیره امانت، یک جدول زمانی منطبق با MITRE ATT&CK و یک برنامه سخت‌گیری ۳۰/۶۰/۹۰ روزه — نه یک فایل PDF پر از اسکرین‌شات — از ماجرا بیرون می‌روید.

پرسش‌های متداول

سوالات
مردم ساعت ۳ صبح می‌پرسند.

آیا باید باج را پرداخت کنیم؟

تقریباً هرگز اولین حرکت درست نیست. ما فقط زمانی مذاکره می‌کنیم که به عنوان آخرین راه حل باشد و در حالی که گزینه‌های بازیابی در حال ارزیابی هستند، و تنها با تأیید قانونی و رفع تحریم‌ها. در حدود ۹۴٪ موارد ما، بازیابی کامل یا جزئی بدون پرداخت امکان‌پذیر است.

چه مدت می‌توانید روی پل ارتباطی حضور داشته باشید؟

SLA (توافق‌نامه سطح خدمات) ما از زمان اولین تماس تا ارتباط با یک تحلیل‌گر در یک پل ارتباطی مشترک با تیم شما، کمتر از ۶۰ دقیقه است. راهنمایی برای مهار معمولاً در ۱۵ دقیقه اول آغاز می‌شود، در حالی که ارزیابی دامنه به طور موازی انجام می‌شود.

ما قبلاً همه چیز را خاموش کرده‌ایم. آیا این کار بد است؟

این ایده‌آل نیست — حافظه فرار حاوی کلیدها، فرآیندهای تزریق‌شده و ردپای اپراتور است — اما قابل بازیابی است. تا زمانی که ما روی خط نیستیم، هیچ چیزی را دوباره راه‌اندازی نکنید. ما رویه‌های تریاژ سرد را داریم.

آیا با بیمه‌گر سایبری ما کار می‌کنید؟

بله. ChainBreak طوری ساختار یافته است که به پنل‌های استاندارد IR متصل شود. ما اقدامات زمان‌مهر و موم‌شده، کنترل‌های هزینه و یک گزارش نهایی را در قالبی که اکثر شرکت‌های بیمه می‌پذیرند، در اختیار شرکت بیمه قرار می‌دهیم.

اگر داده‌ها هم به سرقت رفته و هم رمزگذاری شده باشند چه؟

ما دامنه خروج داده را به‌طور جداگانه مشخص می‌کنیم: چه چیزی برداشته شده، از کجا، و برای چه مدت. سپس هماهنگی افشا، امور حقوقی و - در صورت لزوم - نظارت بر سایت‌های نشت داده و ارتباطات اپراتور را انجام می‌دهیم.

آیا می‌توانید از وقوع حادثه بعدی جلوگیری کنید؟

این فاز ۴ است. رفع علت ریشه‌ای، بهداشت هویتی، پیاده‌سازی EDR/MFA و نظارت مستمر — همراه با VulnScan و ConnGuard برای محیط پیرامونی.

۲۴ / ۷ / ۳۶۵

منتظر نمانید
صبح دوشنبه.

هر ساعتی که تأخیر کنید، پشتیبان‌ها پاک می‌شوند، شواهد منقضی می‌شوند و عاملان نفوذی عمیق‌تر پیش می‌روند. ChainBreak در روز کاری، آخر هفته و تعطیلات پاسخ می‌دهد — ساعت اهمیتی نمی‌دهد و ما هم همین‌طور.

تماس بگیرید +971 58 594 6337 ← استعلام قرارداد پشتیبانی
سیگنال در همان شماره موجود است
۵۰٪ از حملات هنوز با رمزگذاری پایان می‌یابند. منتظر نمانید تا بفهمید به کدام دسته تعلق دارید.