การตอบสนองต่อเหตุการณ์ • DFIR • การถอดรหัส

ไฟล์ของคุณ
ถูกเข้ารหัสแล้ว
เรามี
งานที่ต้องทำ

เมื่อแนวป้องกันของคุณถูกเจาะ เราจะควบคุมขอบเขตความเสียหาย รวบรวมข้อมูลจากสำรองหรือการวิจัยเครื่องมือถอดรหัส ติดตามผู้ดำเนินการบนเครือข่ายของคุณ และเสริมความแข็งแกร่งให้กับสิ่งที่เหลืออยู่ — เพื่อไม่ให้ประตูบานเดิมเปิดอีกครั้ง

เปิดใช้งานการตอบสนอง→ ดำเนินการประเมินตนเอง

97%

ของเหยื่อที่กู้คืนข้อมูลได้

1.53 ล้านดอลลาร์

ค่าเฉลี่ยของค่าใช้จ่ายในการกู้คืนต่อเหตุการณ์

ห้าสิบสามเปอร์เซ็นต์

กลับมาออนไลน์ภายในหนึ่งสัปดาห์

ไม่พบข้อมูลสำรอง

แหล่งเก็บข้อมูลที่ทราบล่าสุด: ไม่สามารถเข้าถึงได้

ช่างเป็นสิ่งที่ไม่ได้รักษา
เหตุการณ์ที่เกิดขึ้นจริงมีค่าใช้จ่ายเท่าไร

ข้อมูลนี้ได้มาจากข้อมูลการตอบสนองต่อเหตุการณ์ภายในของเราและรายงานสาธารณะที่ได้รับการยืนยันในช่วงปี 2024–2025 — ครอบคลุมหลายอุตสาหกรรมและหลายภูมิภาค

5.08 ล้านดอลลาร์

ค่าใช้จ่ายเฉลี่ยรวมทั้งหมดของเหตุการณ์แรนซัมแวร์หรือการเรียกค่าไถ่

241

จำนวนวันโดยเฉลี่ยในการระบุและควบคุมการละเมิดข้อมูลโดยไม่มีการตอบสนองเหตุการณ์ด้านความปลอดภัยโดยเฉพาะ

จำนวนวันเฉลี่ยของการหยุดทำงานของระบบต่อครั้งของการโจมตีด้วยแรนซัมแวร์

จำนวนวันเฉลี่ยจากการบุกรุกครั้งแรกจนถึงการติดตั้งโปรแกรมเข้ารหัส

ห้าสิบเปอร์เซ็นต์

การโจมตีด้วยแรนซัมแวร์ยังคงจบลงด้วยการเข้ารหัสข้อมูล

28%

ของเหยื่อที่ถูกเข้ารหัสยังมีข้อมูลถูกขโมยออกไปเพื่อเรียกค่าไถ่

การประเมินตนเอง // 4 คำถาม • 30 วินาที

ก่อนที่คุณจะตื่นตระหนก
วัดแรงระเบิด

ตอบคำถามสี่ข้อ เราจะสร้างคะแนนความรุนแรงแบบเรียลไทม์และสี่ขั้นตอนแรกที่ทีมของคุณควรดำเนินการทันที — ก่อนที่ใครจะเริ่มพิมพ์ด้วยความโกรธ

คำถาม 01 / 04

คุณพบอะไรก่อน?

สิ่งที่สังเกตได้เร็วที่สุดเป็นตัวกำหนดว่าคุณมีเวลามากน้อยเพียงใด

คำถาม 02 / 04

มันแพร่กระจายไปไกลแค่ไหนแล้ว?

นับโฮสต์ที่มีการยืนยันการเข้ารหัสหรือการแก้ไข

คำถาม 03 / 04

สถานะสำรองข้อมูล?

"ไม่สามารถเปลี่ยนแปลงได้" หมายถึง ไม่สามารถเปลี่ยนแปลงได้อย่างแท้จริง — การล็อกวัตถุ, การแยกจากเครือข่าย, หรือการออฟไลน์

คำถาม 04 / 04

สัญญาณของการโจรกรรมข้อมูล?

การนำข้อมูลออกทำให้งานกู้คืนกลายเป็นงานเปิดเผยข้อมูล

ผลลัพธ์

การคัดแยกผู้ป่วยเสร็จสิ้น

นี่เป็นคะแนนคร่าวๆ นักวิเคราะห์ของ PWN-ALL สามารถระบุได้ชัดเจนขึ้นภายใน 15 นาทีบนสะพานการตอบสนอง

เปิดสะพานคำตอบ→

▸ คำตัดสินสด

รอข้อมูล

ตอบคำถามทางด้านซ้าย การอัปเดตความรุนแรงแบบเรียลไทม์

00255075100

▸ การกระทำสี่ประการแรก

แยกโฮสต์ที่ได้รับผลกระทบออกจากเครือข่าย — ห้ามปิดเครื่อง
เก็บรักษาหน่วยความจำและสำเนาเงาของไดรฟ์บนโฮสต์อย่างน้อยหนึ่งเครื่อง
เพิกถอนข้อมูลประจำตัวที่ใช้ในช่วง 72 ชั่วโมงที่ผ่านมา; หมุนเวียนบัญชีบริการ
เปิดสะพานการตอบสนองด้วย PWN•ALL ก่อนที่จะแตะข้อมูลสำรอง

ท่อส่งการตอบสนอง

สี่ระยะ
สะพานหนึ่ง

เราดำเนินการทุกเหตุการณ์บนสะพานการตอบสนองเดียวที่ได้รับการตรวจสอบ — ทีมของคุณ, นักวิเคราะห์ DFIR ของเรา, ระยะเวลาที่แชร์, และเอกสารยืนยันทุกขั้นตอน

เฟส 01// 0–60 นาที

◉

บรรจุ

การแยกเครือข่ายในระดับเครือข่ายโดยไม่ทำลายหลักฐาน เราหยุดการเคลื่อนไหวด้านข้างที่สวิตช์, บล็อก C2, แช่แข็งบัญชีที่มีสิทธิ์พิเศษ และรักษาหน่วยความจำบนโฮสต์ที่เป็นจุดหมุน

ระยะเวลาเฉลี่ยก่อนเข้ารหัส:4 วัน. ช่วงเวลาที่สามารถควบคุมได้ถูกวัดเป็นชั่วโมง ไม่ใช่กะ.

เฟส 02// 1–6 ชั่วโมง

⬢

ขอบเขต

การคัดแยกทางนิติวิทยาศาสตร์ของสินทรัพย์ที่เข้ารหัสทุกชิ้น, เวกเตอร์การเข้าถึงเริ่มต้น, การคงอยู่, และร่องรอยการนำข้อมูลออกไป. เราสามารถระบุสายพันธุ์, วิธีการปฏิบัติการของผู้ดำเนินการ, และระยะเวลาที่อยู่ในระบบได้.

หากไม่มีทีม IR ที่รับผิดชอบโดยเฉพาะ วงจรการละเมิดข้อมูลโดยเฉลี่ยจะใช้เวลา241 วันตั้งแต่การบุกรุกจนถึงการควบคุมสถานการณ์

ระยะที่ 03// 6–48 ชั่วโมง

⟁

กู้คืน

การสร้างห้องสะอาดใหม่, การตรวจสอบความสมบูรณ์ของข้อมูลสำรอง, การจับคู่ตัวถอดรหัสกับคลังข้อมูลภายในของเรา, และ — ในกรณีที่มีกุญแจ — การถอดรหัสข้อมูลการผลิตเป็นขั้นตอน

ระยะเวลาที่ระบบหยุดทำงานโดยเฉลี่ยจากแรนซัมแวร์อยู่ที่24 วัน องค์กรที่เตรียมพร้อมสามารถลดช่องว่างนี้ให้เหลือน้อยกว่าหนึ่งสัปดาห์

เฟส 04// 2–14 วัน

✚

ฮาร์เดน

การแก้ไขปัญหาที่ต้นเหตุ การทำความสะอาดข้อมูลประจำตัว การติดตั้ง EDR/MFA ในกรณีที่ไม่มีการใช้งาน และการจัดทำรายงานเป็นลายลักษณ์อักษรที่คณะกรรมการ ผู้ประกันภัย และหน่วยงานกำกับดูแลของคุณสามารถอ่านและเข้าใจได้จริง

32%ของเหตุการณ์แรนซัมแวร์เริ่มต้นจากการใช้ประโยชน์จากช่องโหว่ที่ถูกเจาะ ระยะที่ 4 ปิดประตูที่เปิดโอกาสให้พวกเขาเข้ามา

สิ่งที่เราดูแล

ทุกสายพันธุ์มี
ตะเข็บอ่อน เราพบแล้ว

ห้องสมุดวิจัยตัวถอดรหัสและข้อมูลการเจรจาต่อรองของเราได้รับการอัปเดตจากกรณีจริงที่เราปิดทุกสัปดาห์ หากมีวิธีใดในการกู้คืนโดยไม่ต้องจ่ายเงิน เราจะค้นหาวิธีนั้นก่อนเสมอ

ครอบครัว // เน้นหน้าต่าง

LockBit • BlackCat • Play

ตัวควบคุมโดเมน & การกำหนดเป้าหมาย Veeam
การลบสำเนาเงาผ่าน vssadmin/WMI
การเคลื่อนย้ายข้อมูลออกเป็นระยะผ่าน MEGA/Rclone
การกู้คืนกุญแจบางส่วนหากสามารถทำได้

ครอบครัว // ไฮเปอร์ไวเซอร์

อากิระ • ราชวงศ์ • ไรซีดา

ESXi หยุดและเข้ารหัสที่ชั้น VMFS
แรนซัมแวร์ Linux ELF บนอุปกรณ์
การกู้คืนปริมาณระดับดาต้าสโตร์
การตรวจสอบความสมบูรณ์ของฝั่งไฮเปอร์ไวเซอร์

ครอบครัว // รีดไถเท่านั้น

Cl0p • Karakurt • RansomHub

การขโมยข้อมูลล้วนๆ ไม่มีการเข้ารหัส
การตรวจสอบและลบเนื้อหาที่ละเมิด
การประสานงานการเปิดเผยข้อมูลทางกฎหมาย
การสื่อสารของผู้ดำเนินการที่จัดการโดยเรา

สะพานตอบสนอง

นักวิเคราะห์กำลัง
ดูนาฬิกา

ทันทีที่คุณโทรเข้ามา สะพานข้อมูลร่วมกันจะเปิดใช้งานโดยอัตโนมัติ พร้อมแสดงการดำเนินการที่มีการบันทึกเวลา การควบคุมหลักฐาน และกระดานแสดงระดับความรุนแรงแบบเรียลไทม์ ผู้ให้บริการประกันภัยและทีมกฎหมายของคุณสามารถเข้าร่วมได้เฉพาะการอ่านเท่านั้น

ชั่วโมง

นาที

วินาที

◉

มีชีวิตอยู่

00:02นักวิเคราะห์-04เข้าร่วมสะพาน

00:05โฮสต์dc01 แยกตัวที่สวิตช์

00:11ความพยายามด้านข้างถูกบล็อก — 10.4.2.88 → 10.4.2.12

00:18บันทึกภาพความจำปลอดภัยแล้ว — 4 โฮสต์

00:26การจับคู่สายพันธุ์: lockbit 3.x (87%)

00:34สำรองข้อมูลrepo อยู่ในสภาพสมบูรณ์ — veeam01 ไม่มีการแก้ไข

00:41ร่างแผนการฟื้นฟู — รอการอนุมัติ

ไม่มีปริศนา ไม่มีความเงียบ

ทุกเหตุการณ์ของ PWN-ALL ดำเนินการบนแม่แบบสะพานเดียวกันที่หน่วยงานกำกับดูแลและบริษัทประกันภัยไซเบอร์ของคุณยอมรับอยู่แล้ว คุณจะเห็นสิ่งที่เราเห็น คุณอนุมัติทุกการกระทำที่ทำลายล้าง ไม่มีอะไรถูกเข้ารหัส ลบ หรือชำระเงินโดยไม่ได้รับการอนุมัติจากคุณ

หลังจากการควบคุมสถานการณ์แล้ว คุณจะได้รับรายงานการควบคุมทรัพย์สิน, ไทม์ไลน์ที่เชื่อมโยงกับ MITRE ATT&CK และแผนการเสริมความแข็งแกร่งในระยะเวลา 30/60/90 วัน — ไม่ใช่ไฟล์ PDF ที่เต็มไปด้วยภาพหน้าจอ

คำถามที่พบบ่อย

คำถาม
คนถามตอนตีสาม

เราควรจ่ายค่าไถ่หรือไม่?

แทบจะไม่เคยเป็นการเคลื่อนไหวที่ถูกต้องในครั้งแรก เราเจรจาต่อรองเพียงเมื่อเป็นทางเลือกสุดท้ายเท่านั้น ในขณะที่กำลังประเมินทางเลือกในการฟื้นฟู และต้องได้รับการอนุมัติทางกฎหมายและมาตรการคว่ำบาตร ในกรณีประมาณ 94% ของเรา การฟื้นฟูทั้งหมดหรือบางส่วนเป็นไปได้โดยไม่ต้องชำระเงิน

คุณสามารถวิ่งบนสะพานได้เร็วแค่ไหน?

ข้อตกลงระดับการให้บริการ (SLA) ของเราคือภายใน 60 นาทีนับจากครั้งแรกที่โทรหาผู้เชี่ยวชาญบนสะพานร่วมกับทีมของคุณ คำแนะนำในการควบคุมสถานการณ์มักจะเริ่มภายใน 15 นาทีแรก ในขณะที่การประเมินขอบเขตดำเนินการไปพร้อมกัน

เราปิดทุกอย่างแล้ว นั่นไม่ดีเหรอ?

มันไม่ใช่วิธีที่ดีที่สุด — หน่วยความจำที่เปลี่ยนแปลงได้เก็บกุญแจ, กระบวนการที่ถูกฉีดเข้าไป, และร่องรอยของผู้ปฏิบัติงาน — แต่สามารถกู้คืนได้ อย่าบูตอะไรกลับมาทำงานอีกจนกว่าเราจะติดต่อกันได้แล้ว เรามีขั้นตอนสำหรับการคัดแยกแบบเย็น

คุณทำงานกับบริษัทประกันไซเบอร์ของเราหรือไม่?

ใช่ PWN-ALL ถูกออกแบบมาให้สามารถเชื่อมต่อกับแผงอินฟราเรดมาตรฐานได้โดยตรง เราจัดเตรียมข้อมูลการดำเนินการที่มีการบันทึกเวลา ควบคุมค่าใช้จ่าย และรายงานสรุปในรูปแบบที่บริษัทประกันส่วนใหญ่ยอมรับให้กับผู้รับประกันภัย

หากข้อมูลถูกขโมยไปพร้อมกับการเข้ารหัสล่ะ?

เราทำการกำหนดขอบเขตการนำข้อมูลออกแยกต่างหาก: อะไรที่ถูกนำออกไป, จากที่ไหน, เป็นระยะเวลาเท่าใด จากนั้นเราจะประสานงานการเปิดเผยข้อมูล, ด้านกฎหมาย, และการตรวจสอบเว็บไซต์ที่มีการรั่วไหลและการสื่อสารกับผู้ดำเนินการ (หากเหมาะสม)

คุณสามารถป้องกันครั้งต่อไปได้หรือไม่?

นั่นคือเฟสที่ 4 การแก้ไขปัญหาที่ต้นเหตุ การรักษาความสะอาดของข้อมูลประจำตัว การติดตั้ง EDR/MFA และการตรวจสอบอย่างต่อเนื่อง — ควบคู่ไปกับVulnScanและConnGuardสำหรับขอบเขตภายนอก

24 / 7 / 365

อย่ารอ
เช้าวันจันทร์

ทุกชั่วโมงที่คุณล่าช้า ข้อมูลสำรองจะถูกลบ หลักฐานจะหมดอายุ และผู้ดำเนินการจะย้ายลึกเข้าไปอีก PWN-ALL ตอบกลับในวันเดียวกัน วันหยุดสุดสัปดาห์ วันหยุดนักขัตฤกษ์ — นาฬิกาไม่สนใจ และเราก็เช่นกัน

โทร +971 58 594 6337 → สอบถามข้อมูลเกี่ยวกับค่าบริการล่วงหน้า

สัญญาณพร้อมใช้งานบนหมายเลขเดิม
50% ของการโจมตีสิ้นสุดลงด้วยการเข้ารหัส อย่ารอให้รู้ว่าครึ่งไหน

ไฟล์ของคุณ ถูกเข้ารหัสแล้ว เรามี งานที่ต้องทำ

ช่างเป็นสิ่งที่ไม่ได้รักษาเหตุการณ์ที่เกิดขึ้นจริงมีค่าใช้จ่ายเท่าไร

ก่อนที่คุณจะตื่นตระหนกวัดแรงระเบิด