REAKCIA NA INCIDENTY • DFIR • DEŠIFROVANIE

vaše súbory
sú zašifrované.
máme
prácu.

Keď dôjde k narušeniu vašej bezpečnosti, obmedzíme rozsah škôd, obnovíme dáta zo záloh alebo pomocou dešifrovacích nástrojov, vypátrame útočníka vo vašej sieti a posilníme zvyšnú časť systému — aby sa tá istá brána už nikdy neotvorila.

AKTIVOVAŤ REAKCIU → Spustiť vlastné triedenie

97 %

Obetí získa svoje dáta späť

1,53 mil.

Priemerné náklady na obnovu na jeden incident

Obnovenie prevádzky do týždňa

Nenašli sa žiadne zálohy

Posledný známy repozitár: nedostupný

Koľko skutočne stojí
incident skutočne stojí.

Na základe našich interných údajov o reakciách na incidenty a overených verejných správ z rokov 2024–2025 – z viacerých odvetví a geografických oblastí.

5,08 mil.

Priemerné celkové náklady na incident s ransomwarom alebo vydieraním

241

Priemerný počet dní potrebných na zistenie a zastavenie narušenia bezpečnosti bez špecializovaného tímu pre reakciu na incidenty

Dní priemerného výpadku prevádzky na jeden útok ransomware

Stredná hodnota dní od počiatočného vniknutia po šifrovanie dát

Útokov ransomware stále končí šifrovaním dát

U 28 % obetí, ktorých údaje boli zašifrované, došlo aj k exfiltrácii údajov za účelom vydierania

Samodiagnostika // 4 otázky • 30 sekúnd

než začnete panikáriť,
zhodnoťte situáciu.

Odpovedzte na štyri otázky. Vygenerujeme aktuálne skóre závažnosti a prvé štyri kroky, ktoré by mal váš tím podniknúť hneď teraz – skôr, ako sa niekto v hneve dotkne klávesnice.

OTÁZKA 01 / 04

Čo ste zistili ako prvé?

To, čo ste zistili ako prvé, určuje, koľko času máte.

OTÁZKA 02 / 04

Ako ďaleko sa to rozšírilo?

Počítajte hostiteľské počítače s potvrdeným šifrovaním alebo manipuláciou.

OTÁZKA 03 / 04

Stav zálohovania?

„Nezmeniteľný“ znamená skutočne nezmeniteľný – uzamknutý objekt, air-gap alebo offline.

OTÁZKA 04 / 04

Príznaky krádeže údajov?

Exfiltrácia mení úlohu obnovy na úlohu zverejnenia.

VÝSLEDOK

Triage dokončená.

Toto je hrubý odhad. Analytik PWN-ALL ho môže spresniť za 15 minút na response bridge.

OTVORIŤ RESPONSE BRIDGE →

▸ ŽIVÝ VERDIKT

čaká na zadanie

Odpovedzte na otázky vľavo. Závažnosť sa aktualizuje v reálnom čase.

00255075100

▸ Prvé štyri kroky

Odpojte postihnuté hostiteľa od siete — nevypínajte ich.
Zachovajte kópie pamäte a tieňové kópie diskov aspoň na jednom hoste.
Zrušte poverenia použité za posledných 72 hodín; vymeňte účty služieb.
Pred manipuláciou so zálohami otvorte komunikačný kanál s PWN•ALL.

Pipeline odpovedí

štyri fázy.
jeden most.

Každý incident riešime prostredníctvom jediného, auditovaného mostíka reakcie – váš tím, naši analytici DFIR, spoločná časová os a potvrdenia na každom kroku.

FÁZA 01 // 0–60 min

◉

Zastavenie

Izolácia na úrovni siete bez zničenia dôkazov. Zastavíme laterálny pohyb na prepínači, zablokujeme C2, zmrazíme privilegované účty a zachováme pamäť na pivotných hostiteľoch.

Priemerná doba zotrvania pred šifrovaním: 4 dni. Čas na obmedzenie sa meria v hodinách, nie v zmenách.

FÁZA 02 // 1–6 hod

⬢

Rozsah

Forenzná analýza každého šifrovaného aktíva, vektora počiatočného prístupu, perzistencie a stôp exfiltrácie. Identifikujeme kmeň, TTP operátora a dobu zotrvania.

Bez špecializovaného tímu pre reakciu na incidenty trvá priemerný životný cyklus narušenia 241 dní od vniknutia po obmedzenie.

FÁZA 03 // 6–48 hodín

⟁

Obnova

Obnova v čistom prostredí, kontroly integrity záloh, porovnanie dešifrovacích kľúčov s našou internou knižnicou a – ak existujú kľúče – postupné dešifrovanie produkčných dát.

Priemerná doba výpadku spôsobená ransomware je 24 dní. Pripravené organizácie túto medzeru skrátia na menej ako týždeň.

FÁZA 04 // 2–14 dní

✚

Zabezpečenie

Odstránenie príčin, vyčistenie identít, zavedenie EDR/MFA tam, kde chýba, a písomná správa, ktorú vaša správna rada, poisťovňa a regulačný orgán skutočne prečítajú.

32 % incidentov s ransomwarom začína zneužitím zraniteľnosti. Fáza 4 zatvára dvere, ktoré im umožnili vstup.

Čo riešime

každý kmeň má
slabé miesto. My ho nájdeme.

Naša knižnica výskumu dešifrovacích nástrojov a informácie o rokovaniach sú aktualizované na základe skutočných prípadov, ktoré každý týždeň uzatvárame. Ak existuje spôsob, ako obnoviť dáta bez platby, nájdeme ho ako prví.

RODINA // ZAMERANÉ NA WINDOWS

LockBit • BlackCat • Play

Cielené nastavenie doménového radiča a Veeam
Vymazanie tieňovej kópie prostredníctvom vssadmin/WMI
Postupné odosielanie údajov cez MEGA/Rclone
Obnovenie čiastočného kľúča, ak je to možné

RODINA // HYPERVISOR

Akira • Royal • Rhysida

Zastavenie a šifrovanie ESXi na úrovni VMFS
Ransomware Linux ELF na zariadeniach
Obnova objemu na úrovni datastore
Audit integrity na strane hypervizora

RODINA // IBA VYDÍRANIE

Cl0p • Karakurt • RansomHub

Čistá krádež dát, bez šifrovania
Monitorovanie a odstraňovanie stránok s únikmi
Koordinácia právneho zverejnenia
Komunikáciu s operátormi riadime my

Response bridge

analytik už
sleduje čas.

V momente, keď zavoláte, spustí sa zdieľaný most s časovo označenými akciami, úschovou dôkazov a živou tabuľkou závažnosti. Vaša poisťovňa a právny tím sa môžu pripojiť len na čítanie.

hodín

minút

sekúnd

◉

naživo

00:02analytik-04sa pripojil k mostu

00:05 hostiteľdc01 izolovaný na prepínači

00:11blokovaný pokus o laterálny pohyb — 10.4.2.88 → 10.4.2.12

00:18snímkapamätezabezpečená — 4 hostitelia

00:26zhoda kmeňa: lockbit 3.x (87 %)

00:34záložné úložisko neporušené — veeam01 nedotknuté

00:41návrh plánuobnovy— čaká na schválenie

Žiadne tajomstvá. Žiadne mlčanie.

Každý incident v PWN-ALL beží na rovnakej šablóne mostíka, ktorú už akceptujú vaše regulačné orgány a kyberpoisťovňa. Vidíte to, čo vidíme my. Schvaľujete každú deštruktívnu akciu. Bez vášho súhlasu sa nič nešifruje, nemazá ani neplatí.

Po zvládnutí situácie odídete so správou o reťazci dôkazov, časovou osou zmapovanou podľa MITRE ATT&CK a 30/60/90-dňovým plánom posilnenia bezpečnosti – nie s PDF plným screenshotov.

Často kladené

otázky
, ktoré ľudia kladú o 3. hodine ráno.

Mali by sme zaplatiť výkupné?

Takmer nikdy to nie je správny prvý krok. Vyjednávame len ako poslednú možnosť, kým sa vyhodnocujú možnosti obnovy, a to len s právnym a sankčným povolením. V ~94 % našich prípadov je možná úplná alebo čiastočná obnova bez platby.

Ako rýchlo môžete byť pripravení?

Naša SLA je menej ako 60 minút od prvého volania analytikovi na spoločnom mostíku s vaším tímom. Pokyny na obmedzenie škôd zvyčajne začínajú do 15 minút, pričom súbežne prebieha vyhodnocovanie rozsahu.

Všetko sme už vypli. Je to zlé?

Nie je to ideálne – vo volatilnej pamäti sa nachádzajú kľúče, vložené procesy a stopy operátora –, ale dá sa to obnoviť. Nespúšťajte nič, kým nebudeme na linke. Máme postupy pre cold-triage.

Spolupracujete s našou poisťovňou v oblasti kybernetickej bezpečnosti?

Áno. PWN-ALL je navrhnutý tak, aby sa dal pripojiť do štandardných IR panelov. Poisťovni poskytujeme akcie s časovými značkami, kontrolu nákladov a záverečnú správu vo formáte, ktorý väčšina poisťovní akceptuje.

Čo ak boli údaje nielen zašifrované, ale aj odcudzené?

Exfiláciu posudzujeme samostatne: čo bolo odcudzené, odkiaľ a na ako dlho. Následne koordinujeme zverejnenie, právne kroky a – ak je to vhodné – monitorovanie miesta úniku a komunikáciu s operátorom.

Môžete zabrániť ďalšiemu incidentu?

To je fáza 4. Odstránenie príčin, identitná hygiena, zavedenie EDR/MFA a nepretržité monitorovanie – v kombinácii s VulnScan a ConnGuard pre perimeter.

24 / 7 / 365

nečakajte na
pondelkové ráno.

S každou hodinou, ktorú odkladáte, sa zálohy vymažú, dôkazy stratia platnosť a operátori sa dostanú ďalej. PWN-ALL reaguje v pracovný deň, cez víkend, počas sviatkov — čas sa o to nestará a my tiež nie.

ZAVOLAJTE +971 58 594 6337 → Dotaz na paušál

SIGNAL K DISPOZÍCII NA TOM ISTOM ČÍSLE
50 % útokov stále končí šifrovaním. Nečakajte, kým zistíte, do ktorej polovice patríte.

vaše súbory sú zašifrované. máme prácu.

Koľko skutočne stojíincident skutočne stojí.

než začnete panikáriť,zhodnoťte situáciu.