Should we pay the ransom?

Not before containment and evidence preservation. ChainBreak first scopes the incident, protects backups and logs, checks for decryptor options, and gives you a defensible recovery path.

Can you recover files without backups?

Sometimes. Recovery depends on the ransomware family, encryption implementation, remaining shadow copies, partial files, endpoint artifacts, and available decryptor research.

Do you work with our cyber-insurer?

Yes. ChainBreak can provide timestamped actions, cost controls, and final incident reports in formats commonly accepted by cyber-insurance carriers.

What if data was stolen as well as encrypted?

We scope exfiltration separately, identify what was taken, coordinate disclosure support, preserve evidence, and provide leak-site monitoring where appropriate.

การกู้คืนจากแรนซัมแวร์และการตอบสนองต่อเหตุการณ์

เหตุการณ์กำลังเกิดขึ้น? โทร +971 58 594 6337 · สัญญาณพร้อมใช้งาน · ตอบสนองตลอด 24 ชั่วโมง BRIDGE เวลาเฉลี่ยในการควบคุม: 47 นาที LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ไลบรารีตัวถอดรหัสได้รับการอัปเดต ห้ามปิดเครื่องโฮสต์ที่ติดไวรัส — รักษาข้อมูลในหน่วยความจำ เหตุการณ์กำลังเกิดขึ้น? โทร +971 58 594 6337 · สัญญาณพร้อมใช้งาน · ตอบสนองตลอด 24 ชั่วโมง BRIDGE เวลาเฉลี่ยในการควบคุม: 47 นาที LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ไลบรารีตัวถอดรหัสได้รับการอัปเดต ห้ามปิดเครื่องโฮสต์ที่ติดไวรัส — รักษาความจำไว้

ต้นทุนที่แท้จริงของการรอคอย

ช่างเป็นสิ่งที่ไม่ได้รักษา
เหตุการณ์ที่เกิดขึ้นจริงมีค่าใช้จ่ายเท่าไร

ข้อมูลนี้ได้มาจากข้อมูลการตอบสนองต่อเหตุการณ์ภายในของเราและรายงานสาธารณะที่ได้รับการยืนยันในช่วงปี 2024–2025 — ครอบคลุมหลายอุตสาหกรรมและหลายภูมิภาค

5.08 ล้านดอลลาร์

ค่าใช้จ่ายเฉลี่ยรวมทั้งหมดของเหตุการณ์แรนซัมแวร์หรือการเรียกค่าไถ่

241

จำนวนวันโดยเฉลี่ยในการระบุและควบคุมการละเมิดข้อมูลโดยไม่มีการตอบสนองเหตุการณ์ด้านความปลอดภัยโดยเฉพาะ

จำนวนวันเฉลี่ยของการหยุดทำงานของระบบต่อครั้งของการโจมตีด้วยแรนซัมแวร์

จำนวนวันเฉลี่ยจากการบุกรุกครั้งแรกจนถึงการติดตั้งโปรแกรมเข้ารหัส

ห้าสิบเปอร์เซ็นต์

การโจมตีด้วยแรนซัมแวร์ยังคงจบลงด้วยการเข้ารหัสข้อมูล

28%

ของเหยื่อที่ถูกเข้ารหัสยังมีข้อมูลถูกขโมยออกไปเพื่อใช้ในการขู่กรรโชก

การประเมินตนเอง // 4 คำถาม • 30 วินาที

ก่อนที่คุณจะตื่นตระหนก
วัดแรงระเบิด

ตอบคำถามสี่ข้อ เราจะสร้างคะแนนความรุนแรงแบบเรียลไทม์และสี่ขั้นตอนแรกที่ทีมของคุณควรดำเนินการทันที — ก่อนที่ใครจะเริ่มพิมพ์ด้วยความโกรธ

คำถาม 01 / 04

คุณพบอะไรก่อน?

สิ่งที่สังเกตได้เร็วที่สุดเป็นตัวกำหนดว่าคุณมีเวลามากน้อยเพียงใด

คำถาม 02 / 04

มันแพร่กระจายไปไกลแค่ไหนแล้ว?

นับโฮสต์ที่มีการยืนยันการเข้ารหัสหรือการแก้ไข

คำถาม 03 / 04

สถานะสำรองข้อมูล?

"ไม่สามารถเปลี่ยนแปลงได้" หมายถึง ไม่สามารถเปลี่ยนแปลงได้อย่างแท้จริง — การล็อกวัตถุ, การแยกจากเครือข่าย, หรือออฟไลน์

คำถาม 04 / 04

สัญญาณของการขโมยข้อมูล?

การนำข้อมูลออกทำให้งานกู้คืนกลายเป็นงานเปิดเผยข้อมูล

ผลลัพธ์

การคัดแยกผู้ป่วยเสร็จสิ้น

นี่เป็นคะแนนคร่าวๆ นักวิเคราะห์ของ ChainBreak สามารถระบุได้ชัดเจนขึ้นภายใน 15 นาทีบนสะพานการตอบสนอง

เปิดสะพานคำตอบ→

▸ คำตัดสินสด

รอข้อมูล

ตอบคำถามทางด้านซ้าย การอัปเดตความรุนแรงแบบเรียลไทม์

00255075100

▸ การกระทำสี่ประการแรก

แยกโฮสต์ที่ได้รับผลกระทบออกจากเครือข่าย — ห้ามปิดเครื่อง
เก็บรักษาหน่วยความจำและสำเนาเงาของไดรฟ์บนโฮสต์อย่างน้อยหนึ่งเครื่อง
เพิกถอนข้อมูลประจำตัวที่ใช้ในช่วง 72 ชั่วโมงที่ผ่านมา; หมุนเวียนบัญชีบริการ
เปิดสะพานการตอบสนองด้วย PWN•ALL ก่อนที่จะแตะข้อมูลสำรอง

ท่อส่งการตอบสนอง

สี่ระยะ
สะพานหนึ่ง

เราดำเนินการทุกเหตุการณ์บนสะพานการตอบสนองเดียวที่ได้รับการตรวจสอบ — ทีมของคุณ, นักวิเคราะห์ DFIR ของเรา, ระยะเวลาที่แชร์, และเอกสารยืนยันทุกขั้นตอน

เฟส 01// 0–60 นาที

◉

บรรจุ

การแยกเครือข่ายในระดับเครือข่ายโดยไม่ทำลายหลักฐาน เราหยุดการเคลื่อนไหวด้านข้างที่สวิตช์, บล็อก C2, แช่แข็งบัญชีที่มีสิทธิ์พิเศษ, และรักษาหน่วยความจำบนโฮสต์ที่เป็นจุดหมุน

ระยะเวลาเฉลี่ยก่อนเข้ารหัส:4 วัน. ระยะเวลาที่สามารถควบคุมได้ถูกวัดเป็นชั่วโมง ไม่ใช่กะ.

เฟส 02// 1–6 ชั่วโมง

⬢

ขอบเขต

การคัดแยกทางนิติวิทยาศาสตร์ของสินทรัพย์ที่เข้ารหัสทุกชิ้น, เวกเตอร์การเข้าถึงเบื้องต้น, การคงอยู่, และร่องรอยการนำข้อมูลออกไป. เราสามารถระบุสายพันธุ์, วิธีการปฏิบัติการของผู้ดำเนินการ, และระยะเวลาที่อยู่ในระบบได้.

หากไม่มีทีม IR ที่รับผิดชอบโดยเฉพาะ วงจรการละเมิดข้อมูลโดยเฉลี่ยจะใช้เวลา241 วันตั้งแต่การบุกรุกจนถึงการควบคุมสถานการณ์

ระยะที่ 03// 6–48 ชั่วโมง

⟁

กู้คืน

การสร้างห้องสะอาดใหม่, การตรวจสอบความสมบูรณ์ของข้อมูลสำรอง, การจับคู่ตัวถอดรหัสกับคลังข้อมูลภายในของเรา, และ — ในกรณีที่มีกุญแจ — การถอดรหัสข้อมูลการผลิตแบบเป็นขั้นตอน

ระยะเวลาที่ระบบหยุดทำงานโดยเฉลี่ยจากแรนซัมแวร์อยู่ที่24 วัน องค์กรที่เตรียมพร้อมสามารถลดช่องว่างนี้ให้เหลือน้อยกว่าหนึ่งสัปดาห์

เฟส 04// 2–14 วัน

✚

ฮาร์เดน

การแก้ไขปัญหาที่ต้นเหตุ การทำความสะอาดข้อมูลประจำตัว การติดตั้ง EDR/MFA ในกรณีที่ไม่มีการใช้งาน และการจัดทำรายงานเป็นลายลักษณ์อักษรที่คณะกรรมการ ผู้ประกันภัย และหน่วยงานกำกับดูแลของคุณสามารถอ่านและเข้าใจได้จริง

32%ของเหตุการณ์แรนซัมแวร์เริ่มต้นจากการใช้ประโยชน์จากช่องโหว่ที่ถูกเจาะ ระยะที่ 4 ปิดประตูที่เปิดโอกาสให้พวกเขาเข้ามา

สิ่งที่เราดูแล

ทุกสายพันธุ์มี
ตะเข็บอ่อน เราพบแล้ว

ห้องสมุดวิจัยตัวถอดรหัสและข้อมูลการเจรจาต่อรองของเราได้รับการอัปเดตจากกรณีจริงที่เราปิดทุกสัปดาห์ หากมีวิธีใดในการกู้คืนโดยไม่ต้องจ่ายเงิน เราจะหาวิธีนั้นก่อน

ครอบครัว // เน้นหน้าต่าง

LockBit • BlackCat • Play

ตัวควบคุมโดเมน & การกำหนดเป้าหมาย Veeam
การลบสำเนาเงาผ่าน vssadmin/WMI
การเคลื่อนย้ายข้อมูลออกเป็นระยะผ่าน MEGA/Rclone
การกู้คืนกุญแจบางส่วนเมื่อสามารถทำได้

ครอบครัว // ไฮเปอร์ไวเซอร์

อากิระ • ราชวงศ์ • ไรซีดา

ESXi หยุดและเข้ารหัสที่ชั้น VMFS
แรนซัมแวร์ Linux ELF บนอุปกรณ์
การกู้คืนปริมาณข้อมูลในระดับดาต้าสโตร์
การตรวจสอบความสมบูรณ์ของฝั่งไฮเปอร์ไวเซอร์

ครอบครัว // รีดไถเท่านั้น

Cl0p • Karakurt • RansomHub

การขโมยข้อมูลล้วนๆ ไม่มีการเข้ารหัส
การตรวจสอบและลบเนื้อหาที่ละเมิด
การประสานงานการเปิดเผยข้อมูลทางกฎหมาย
การสื่อสารของผู้ปฏิบัติงานที่จัดการโดยเรา

สะพานตอบสนอง

นักวิเคราะห์กำลัง
ดูนาฬิกา

ทันทีที่คุณโทรเข้ามา สะพานข้อมูลร่วมกันจะเปิดใช้งานโดยอัตโนมัติ พร้อมแสดงรายการดำเนินการที่มีการประทับเวลา หลักฐานการดูแลรักษา และกระดานแสดงระดับความรุนแรงแบบเรียลไทม์ ผู้ให้บริการประกันภัยและทีมกฎหมายของคุณสามารถเข้าร่วมได้เฉพาะการอ่านเท่านั้น

ชั่วโมง

นาที

วินาที

◉

มีชีวิตอยู่

00:02นักวิเคราะห์-04เข้าร่วมสะพาน

00:05โฮสต์dc01 แยกตัวที่สวิตช์

00:11ความพยายามด้านข้างถูกบล็อก — 10.4.2.88 → 10.4.2.12

00:18บันทึกภาพความจำปลอดภัยแล้ว — 4 โฮสต์

00:26การจับคู่สายพันธุ์: lockbit 3.x (87%)

00:34สำรองข้อมูลrepo อยู่ในสภาพสมบูรณ์ — veeam01 ไม่มีการแก้ไข

00:41ร่างแผนการฟื้นฟู — รอการอนุมัติ

ไม่มีปริศนา ไม่มีความเงียบ

ทุกเหตุการณ์ของ ChainBreak ดำเนินการบนแม่แบบสะพานเดียวกันที่หน่วยงานกำกับดูแลและบริษัทประกันภัยไซเบอร์ของคุณยอมรับอยู่แล้ว คุณจะเห็นสิ่งที่เราเห็น คุณอนุมัติทุกการกระทำที่ทำลายล้าง ไม่มีอะไรถูกเข้ารหัส ลบ หรือชำระเงินโดยไม่ได้รับการอนุมัติจากคุณ

หลังจากการควบคุมสถานการณ์แล้ว คุณจะได้รับรายงานการควบคุมทรัพย์สิน, ไทม์ไลน์ที่เชื่อมโยงกับ MITRE ATT&CK และแผนการเสริมความแข็งแกร่งใน 30/60/90 วัน — ไม่ใช่ไฟล์ PDF ที่เต็มไปด้วยภาพหน้าจอ

คำถามที่พบบ่อย

คำถาม
คนถามตอนตีสาม

เราควรจ่ายค่าไถ่หรือไม่?

แทบจะไม่เคยเป็นการเคลื่อนไหวที่ถูกต้องในครั้งแรก เราเจรจาต่อรองเพียงเมื่อเป็นทางเลือกสุดท้ายเท่านั้น ในขณะที่กำลังประเมินทางเลือกในการฟื้นฟู และต้องได้รับการอนุมัติทางกฎหมายและมาตรการคว่ำบาตร ในกรณีประมาณ 94% ของเรา การฟื้นฟูทั้งหมดหรือบางส่วนสามารถทำได้โดยไม่ต้องชำระเงิน

คุณสามารถวิ่งบนสะพานได้เร็วแค่ไหน?

ข้อตกลงระดับการให้บริการ (SLA) ของเราคือภายใน 60 นาทีนับจากครั้งแรกที่โทรหาผู้เชี่ยวชาญบนสะพานร่วมกับทีมของคุณ คำแนะนำในการควบคุมสถานการณ์มักจะเริ่มภายใน 15 นาทีแรก ในขณะที่การประเมินขอบเขตจะดำเนินการไปพร้อมกัน

เราปิดทุกอย่างแล้ว นั่นไม่ดีเหรอ?

มันไม่ใช่วิธีที่ดีที่สุด — หน่วยความจำที่เปลี่ยนแปลงได้เก็บกุญแจ, กระบวนการที่ถูกฉีดเข้าไป, และร่องรอยของผู้ปฏิบัติงาน — แต่สามารถกู้คืนได้ อย่าเปิดระบบใด ๆ ขึ้นมาอีกจนกว่าเราจะติดต่อกันได้แล้ว เรามีขั้นตอนสำหรับการคัดแยกแบบเย็น

คุณทำงานกับบริษัทประกันภัยไซเบอร์ของเราหรือไม่?

ใช่ ChainBreak ถูกออกแบบมาให้สามารถเชื่อมต่อกับแผงอินฟราเรดมาตรฐานได้โดยตรง เราจัดเตรียมข้อมูลการดำเนินการที่มีการบันทึกเวลา ควบคุมค่าใช้จ่าย และรายงานสรุปในรูปแบบที่บริษัทประกันส่วนใหญ่ยอมรับให้กับผู้รับประกันภัย

หากข้อมูลถูกขโมยไปพร้อมกับการเข้ารหัสล่ะ?

เราทำการกำหนดขอบเขตการนำข้อมูลออกแยกต่างหาก: อะไรที่ถูกนำออกไป, จากที่ไหน, เป็นระยะเวลาเท่าใด จากนั้นเราจะประสานงานการเปิดเผยข้อมูล, ด้านกฎหมาย, และการตรวจสอบเว็บไซต์ที่มีการรั่วไหลและการสื่อสารกับผู้ดำเนินการ (หากเหมาะสม)

คุณสามารถป้องกันครั้งต่อไปได้หรือไม่?

นั่นคือเฟสที่ 4 การแก้ไขปัญหาที่ต้นเหตุ การรักษาความสะอาดของข้อมูลประจำตัว การติดตั้ง EDR/MFA และการตรวจสอบอย่างต่อเนื่อง — ควบคู่ไปกับVulnScanและConnGuardสำหรับขอบเขตภายนอก

24 / 7 / 365

อย่ารอ
เช้าวันจันทร์

ทุกชั่วโมงที่คุณล่าช้า ข้อมูลสำรองจะถูกลบ หลักฐานจะหมดอายุ และผู้ดำเนินการจะย้ายลึกเข้าไปอีก ChainBreak ตอบกลับในวันเดียวกัน วันหยุดสุดสัปดาห์ วันหยุดนักขัตฤกษ์ — นาฬิกาไม่สนใจ และเราก็เช่นกัน

โทร +971 58 594 6337 → สอบถามข้อมูลเกี่ยวกับค่าธรรมเนียมล่วงหน้า

สัญญาณพร้อมใช้งานบนหมายเลขเดิม
50% ของการโจมตีสิ้นสุดลงด้วยการเข้ารหัส อย่ารอให้รู้ว่าครึ่งไหน

ช่างเป็นสิ่งที่ไม่ได้รักษาเหตุการณ์ที่เกิดขึ้นจริงมีค่าใช้จ่ายเท่าไร

ก่อนที่คุณจะตื่นตระหนกวัดแรงระเบิด