Should we pay the ransom?

Not before containment and evidence preservation. ChainBreak first scopes the incident, protects backups and logs, checks for decryptor options, and gives you a defensible recovery path.

Can you recover files without backups?

Sometimes. Recovery depends on the ransomware family, encryption implementation, remaining shadow copies, partial files, endpoint artifacts, and available decryptor research.

Do you work with our cyber-insurer?

Yes. ChainBreak can provide timestamped actions, cost controls, and final incident reports in formats commonly accepted by cyber-insurance carriers.

What if data was stolen as well as encrypted?

We scope exfiltration separately, identify what was taken, coordinate disclosure support, preserve evidence, and provide leak-site monitoring where appropriate.

Pagbawi mula sa Ransomware at Pagtugon sa Insidente

AKTIBONG INCIDENTE? TAWAG SA +971 58 594 6337 · MAY SIGNAL · 24/7 TUGON NA TULAY AVG ORAS PARA SA PAGKONTROL: 47 MINUTO LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — NA-UPDATE NA ANG DECRYPTOR LIBRARY HUWAG PATAYIN ANG MGA NAINFECT NA HOST — PANATILIHIN ANG MEMORYA AKTIBONG INSIDENTE? TAWAGAN ANG +971 58 594 6337 · MAY SENYAS · 24/7 TULAY NG TUGON AVG TIME-TO-CONTAIN: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — NA-UPDATE NA ANG DECRYPTOR LIBRARY HUWAG PATAYIN ANG MGA NAINFECT NA HOST — PANATILIHIN ANG MEMORYA

Ang tunay na gastos ng paghihintay

ang hindi ginamot
ang totoong gastos ng isang hindi ginamot na insidente.

Hango mula sa aming panloob na datos ng tugon sa insidente at sa napatunayang pampublikong ulat mula 2024–2025 — iba't ibang industriya, iba't ibang lokasyon.

$5.08m

Karaniwang kabuuang gastos ng isang insidente ng ransomware o pananakot

241

Araw sa karaniwan para matukoy at mapigilan ang paglabag nang walang nakalaang IR

tatlo

Araw ng karaniwang oras ng pagkaantala sa operasyon kada pag-atake ng ransomware

Kalagitnaang bilang ng araw mula sa paunang paglusob hanggang sa pag-encrypt na payload

50%

Ang karamihan ng mga pag-atake ng ransomware ay nagtatapos pa rin sa pag-encrypt ng datos

28%

Sa mga biktimang naka-encrypt, kinuha rin ang kanilang datos para sa pananakot

Sariling triage // 4 na tanong • 30 segundo

bago ka mag-panic,
sukatin ang pagsabog.

Sagutin ang apat na tanong. Gagawa kami ng live severity score at ng unang apat na hakbang na dapat gawin ng iyong koponan ngayon din — bago pa man may magalit na mag-type.

KUTANG 01 / 04

Ano ang una mong natuklasan?

Ang pinakamaagang mapapansin ang tumutukoy kung gaano karaming oras ang mayroon ka.

TANONG 02 / 04

Gaano na kalayo ang naabot nito?

Bilangin ang mga host na nakumpirmang naka-encrypt o na-tamper.

KUTANG 03 / 04

Estado ng backup?

Ang "Immutable" ay nangangahulugang tunay na hindi mababago — object-lock, air-gap, o offline.

TANONG 04 / 04

Mga palatandaan ng pagnanakaw ng datos?

Ang exfiltration ay nagiging sanhi na ang trabaho sa pagbawi ay maging trabaho sa pagbubunyag.

RESULTA

Kumpletong triage.

Ito ay isang paunang iskor. Maaaring paliitin ito ng isang ChainBreak analyst sa loob ng 15 minuto sa response bridge.

BUKSAN ANG RESPONSE BRIDGE →

▸ LIVE NA HATOL

naghihintay ng input

Sagutin ang mga tanong sa kaliwa. Ang mga pag-update ng tindi ay nangyayari nang real time.

00255075100

▸ Unang apat na aksyon

Isolahin ang mga apektadong host mula sa network — huwag patayin.
Panatilihin ang memorya at volume shadow copies sa hindi bababa sa isang host.
I-revoke ang mga kredensyal na ginamit sa nakaraang 72 oras; i-rotate ang mga service account.
Buksan ang tulay ng tugon sa PWN•ALL bago hawakan ang mga backup.

Daloy ng tugon

apat na yugto.
isang tulay.

Pinapatakbo namin ang bawat insidente sa isang solong, na-audit na tulay ng tugon — ang iyong koponan, ang aming mga DFIR analyst, isang pinagsasaluhang linya ng oras, at mga resibo sa bawat hakbang.

YUGTO 01 // 0–60 minuto

◉

Pigilan

Pag-iisa sa antas ng network nang hindi sinisira ang ebidensya. Pinipigilan namin ang pahalang na paggalaw sa switch, hinaharang ang C2, pinapatigil ang mga privileged account, at pinananatili ang memorya sa mga pivot host.

Karaniwang tagal ng pananatili bago mag-encryption: 4 na araw. Ang bintana para sa pagpigil ay sinusukat sa oras, hindi sa mga shift.

YUGTO 02 // 1–6 na oras

⬢

Saklaw

Forensikong triage ng bawat naka-encrypt na asset, vector ng paunang pag-access, persistence, at mga bakas ng exfiltration. Tinutukoy namin ang strain, ang TTP ng operator, at ang tagal ng pananatili.

Kung walang nakalaang IR team, ang karaniwang siklo ng breach ay tumatagal ng 241 araw mula sa pagpasok hanggang sa pagpigil.

YUGTO 03 // 6–48 oras

⟁

Ibalik

Muling pagtatayo sa malinis na kapaligiran, pagsusuri sa integridad ng backup, pagtutugma ng decryptor sa aming panloob na aklatan, at — kung mayroon mang mga susi — paunti-unting pag-decrypt ng datos sa produksyon.

Ang karaniwang downtime ng ransomware ay nasa 24 na araw. Ang mga organisasyong handa ay napapababa ang agwat na iyon sa mas mababa sa isang linggo.

YUGTO 04 // 2–14 d

✚

Pagpapalakas

Pag-aayos ng ugat ng sanhi, paglilinis ng pagkakakilanlan, pag-rollout ng EDR/MFA kung wala pa, at isang nakasulat na ulat na talagang mababasa ng iyong board, insurer, at regulator.

32% ng mga insidente ng ransomware ay nagsisimula sa isang sinamantalahang kahinaan. Sinasara ng Ika-4 na Yugto ang pinto na nagpasok sa kanila.

Ang aming pinangangasiwaan

bawat strain ay may
mahina ang tahi. hahanapin namin ito.

Ang aming silid-aklatan ng pananaliksik sa decryptor at impormasyon sa negosasyon ay pinapabago mula sa mga totoong kaso na namin sinasara bawat linggo. Kung may paraan para makabawi nang hindi nagbabayad, kami ang unang makakakita nito.

PAMILYA // NAKASENTRO SA WINDOWS

LockBit • BlackCat • Play

Pag-target sa domain controller at Veeam
Pagtanggal ng shadow copy gamit ang vssadmin/WMI
Hinati-hatiang pag-exfil sa MEGA/Rclone
Pagbawi ng bahagi ng susi kung naaangkop

PAMILYA // HYPERVISOR

Akira • Royal • Rhysida

ESXi stop-and-encrypt sa layer ng VMFS
Linux ELF ransomware sa mga appliance
Pagbawi ng volume sa antas ng datastore
Audit ng integridad sa bahagi ng hypervisor

PAMILYA // PANGINGINGAT NG PERA LAMANG

Cl0p • Karakurt • RansomHub

Purong pagnanakaw ng datos, walang pag-encrypt
Pagsubaybay sa mga site ng pagtagas at pagtanggal
Koordinasyon ng legal na pagsisiwalat
Pinamamahalaan namin ang komunikasyon ng operator

Tulay ng tugon

may isang analista na
binabantayan ang oras.

Sa sandaling tumawag ka, isang pinagsasaluhang tulay ang agad na nag-uumpisa na may mga aksyong may tatak ng oras, pangangalaga sa ebidensya, at isang live na board ng kalubhaan. Maaaring sumali nang read-only ang iyong insurer at legal na koponan.

oras

minuto

segundo

◉

live

00:02analyst-04sumali sa bridge

00:05hostdc01 na-isolate sa switch

00:11harang ang lateral na pagtatangka — 10.4.2.88 → 10.4.2.12

00:18nakuha angmemorysnapshot — 4 host

00:26tugma sa strain: lockbit 3.x (87%)

00:34buo pa angbackuprepo — hindi nahawakan ang veeam01

00:41borador ng planosa pagbawi— hinihintay ang pag-apruba

Walang misteryo. Walang katahimikan.

Bawat insidente ng ChainBreak ay gumagamit ng parehong template ng tulay na tinatanggap na ng inyong mga regulator at cyber-insurer. Nakikita ninyo ang nakikita namin. Inaaprubahan ninyo ang bawat mapanirang kilos. Walang naka-encrypt, nabura, o nabayaran nang walang inyong pag-apruba.

Pagkatapos ng containment, aalis ka nang may ulat ng chain-of-custody, timeline na naka-mapa sa MITRE ATT&CK, at 30/60/90-araw na plano sa pagpapatibay — hindi isang PDF na puno ng mga screenshot.

Madalas Itanong

ang mga tanong
tinanong ng mga tao sa alas-tres ng umaga.

Dapat ba tayong magbayad ng ransom?

Halos hindi kailanman ito ang tamang unang hakbang. Nakikipagnegosasyon lamang kami bilang huling paraan habang sinusuri ang mga opsyon sa pagbawi, at tanging may pahintulot mula sa legal at sanctions clearance. Sa ~94% ng aming mga kaso, posible ang buong o bahagyang pagbawi nang hindi nagbabayad.

Gaano ka-agad ka makakasali sa bridge?

Ang aming SLA ay mas mababa sa 60 minuto mula sa unang tawag hanggang sa makausap ang isang analyst sa isang shared bridge kasama ang inyong koponan. Karaniwang nagsisimula ang gabay sa containment sa loob ng unang 15 minuto habang sabay na isinasagawa ang scoping.

Pinapatay na namin ang lahat. Masama ba iyon?

Hindi ito perpekto — ang volatile memory ay naglalaman ng mga susi, mga iniksiyong proseso, at mga bakas ng operator — ngunit mababawi ito. Huwag patakbuhin muli ang anumang bagay hanggang makausap ninyo kami sa linya. Mayroon kaming mga pamamaraan para sa cold-triage.

Nakikipagtulungan ba kayo sa aming cyber-insurer?

Oo. Ang ChainBreak ay nakaayos upang maisaksak sa mga karaniwang IR panel. Nagbibigay kami sa insurer ng mga naka-timestamp na aksyon, kontrol sa gastos, at isang pangwakas na ulat sa format na karaniwang tinatanggap ng mga carrier.

Paano kung ninakaw ang data at na-encrypt din?

Hiwalay naming sinusuri ang pagkuha ng datos: kung ano ang nakuha, mula saan, at kung gaano katagal. Pagkatapos ay inaayos namin ang pagsisiwalat, ang mga usaping legal, at — kung naaangkop — ang pagmamanman sa mga site ng pagtagas at ang komunikasyon sa operator.

Mapipigilan mo ba ang susunod?

Iyon ang ika-4 na yugto. Pag-aayos ng ugat ng problema, paglilinis ng pagkakakilanlan, pag-rollout ng EDR/MFA, at tuloy-tuloy na pagmamanman — kasabay ng VulnScan at ConnGuard para sa perimeter.

24 / 7 / 365

huwag maghintay para sa
Lunes ng umaga.

Bawat oras na naghihintay ka, nabubura ang mga backup, nag-e-expire ang ebidensya, at lalo pang lumalalim ang mga operator. Tumutugon ang ChainBreak kahit araw ng trabaho, Sabado't Linggo, o pista opisyal — hindi alintana ng orasan, at ganoon din kami.

TAWAG +971 58 594 6337 → Tanong tungkol sa retainer

MAAARI MAG-TEXT SA PARehong NUMERO
50% ng mga pag-atake ay nagtatapos pa rin sa pag-encrypt. Huwag maghintay para malaman kung aling kalahati.

ang hindi ginamotang totoong gastos ng isang hindi ginamot na insidente.

bago ka mag-panic,sukatin ang pagsabog.