АКТИВНА СИТУАЦІЯ? ТЕЛЕФОНУЙТЕ +971 58 594 6337 · ДОСТУПНИЙ SIGNAL · ЦІЛОДОБОВИЙ ОПЕРАТИВНИЙ ЦЕНТР СЕРЕДНІЙ ЧАС ЛІКВІДАЦІЇ: 47 ХВ LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ОНОВЛЕНО БІБЛІОТЕКУ ДЕКРИПТОРІВ НЕ ВИМИКАЙТЕ ЗАРАЖЕНІ ХОСТИ — ЗБЕРЕЖІТЬ ПАМ'ЯТЬ АКТИВНА ІНЦИДЕНТ? ТЕЛЕФОНУЙТЕ +971 58 594 6337 · ДОСТУПНИЙ СИГНАЛ · ЦІЛОДОБОВИЙ МОСТ РЕАГУВАННЯ СЕРЕДНІЙ ЧАС ЛІКВІДАЦІЇ: 47 ХВ LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ОНОВЛЕНО БІБЛІОТЕКУ ДЕКРИПТОРІВ НЕ ВИМИКАЙТЕ ЗАРАЖЕНІ ХОСТИ — ЗБЕРЕЖІТЬ ПАМ'ЯТЬ
Англійська Español Угорська العربية Русский Українська Deutsch Словенська Тайська Китайська 日本語 한국어 Румунська Французька Хінді Бенгальська Індонезійська Португальська Італійська Тагальська В'єтнамська Фарсі Суахілі М'янмарська Амарська Турецька Урду Баса-джава Польська Чеська
system.log
останні 5 хвилин · 20 подій
Знімки
за останні 7 днів · 7 знімків
Резервних копій не знайдено
Останнє відоме сховище: недоступне

скільки насправді
інцидент насправді коштує.

На основі наших внутрішніх даних про реагування на інциденти та перевірених публічних звітів за 2024–2025 роки — у різних галузях та регіонах.

01
5,08 млн
Середня загальна вартість інциденту з використанням програм-вимагачів або шантажу
02
241
Середня кількість днів, необхідних для виявлення та локалізації порушення безпеки без спеціалізованої служби реагування на інциденти
03
24
Дні середнього простою обладнання на одну атаку програм-вимагачів
04
4
Середня кількість днів від початкового вторгнення до запуску шифрувального модуля
05
5
Атак програм-вимагачів все ще закінчуються шифруванням даних
06
28
У 28% жертв шифрування також відбувся витік даних з метою вимагання
Самодіагностика // 4 питання • 30 секунд

перш ніж панікувати,
оцініть масштаб проблеми.

Дайте відповідь на чотири запитання. Ми миттєво розрахуємо рівень серйозності ситуації та визначимо перші чотири дії, які ваша команда має вжити негайно — до того, як хтось у гніві торкнеться клавіатури.

ПИТАННЯ 01 / 04
Що ви виявили першим?
Найперше, що ви помітили, визначає, скільки часу у вас є.
ПИТАННЯ 02 / 04
Наскільки широко поширилася атака?
Підрахуйте кількість хостів із підтвердженим шифруванням або втручанням.
ПИТАННЯ 03 / 04
Статус резервного копіювання?
«Незмінний» означає справді незмінний — блокування об’єкта, ізольоване середовище або офлайн.
ПИТАННЯ 04 / 04
Ознаки викрадення даних?
Витік даних перетворює завдання з відновлення на завдання з розкриття інформації.
РЕЗУЛЬТАТ
Сортування завершено.
Це приблизний результат. Аналітик PWN-ALL може уточнити його за 15 хвилин на мосту реагування.
ВІДКРИТИ МОСТ РЕАГУВАННЯ
▸ РЕЗУЛЬТАТ
очікується введення
Дайте відповіді на питання зліва. Рівень серйозності оновлюється в режимі реального часу.
00255075100

▸ Перші чотири дії

  1. Ізолюйте уражені хости від мережі — не вимикайте їх.
  2. Збережіть тіні копій пам'яті та томів принаймні на одному хості.
  3. Скасуйте облікові дані, використані протягом останніх 72 годин; змініть облікові записи служб.
  4. Відкрийте канал зв'язку з PWN•ALL, перш ніж торкатися резервних копій.
Конвеєр обробки

чотири етапи.
один міст.

Ми обробляємо кожен інцидент на єдиному, перевіреному мості реагування — ваша команда, наші аналітики DFIR, спільна хронологія та підтвердження на кожному етапі.

ЕТАП 01 // 0–60 хв

Ізоляція

Ізоляція на рівні мережі без знищення доказів. Ми зупиняємо латеральне переміщення на комутаторі, блокуємо C2, заморожуємо привілейовані облікові записи та зберігаємо пам'ять на хостах-посередниках.

Середній час перебування до шифрування: 4 дні. Вікно для локалізації вимірюється годинами, а не змінами.
ФАЗА 02 // 1–6 год

Обсяг

Криміналістична сортування всіх зашифрованих активів, векторів початкового доступу, слідів персистентності та витоку даних. Ми ідентифікуємо штам, тактики, техніки та процедури (TTP) оператора, а також час перебування.

Без спеціалізованої команди з реагування на інциденти середній цикл порушення безпеки триває 241 день від моменту вторгнення до локалізації.
ЕТАП 03 // 6–48 годин

Відновлення

Відновлення в «чистій кімнаті», перевірка цілісності резервних копій, зіставлення дешифратора з нашою внутрішньою бібліотекою та — за наявності ключів — поетапне дешифрування виробничих даних.

Середній час простою через викрадення даних становить 24 дні. Підготовлені організації скорочують цей проміжок до менше ніж тижня.
ЕТАП 04 // 2–14 днів

Зміцнення

Усунення першопричини, очищення ідентифікаційних даних, впровадження EDR/MFA там, де їх бракує, та письмовий звіт, який зможуть прочитати ваша рада директорів, страховик та регулятор.

32% інцидентів із програмним забезпеченням-вимагачем починаються з експлуатації вразливості. Фаза 4 закриває двері, через які вони проникли.
Чим ми займаємося

кожен штам має
слабке місце. Ми його знаходимо.

Наша бібліотека досліджень дешифрувачів та інформація про переговори оновлюються на основі реальних випадків, які ми закриваємо щотижня. Якщо є спосіб відновити дані без оплати, ми знайдемо його першими.

СІМ'Я // ОРІЄНТОВАНІ НА WINDOWS

LockBit • BlackCat • Play

  • Контролер домену та націлювання Veeam
  • Стирання тіньової копії за допомогою vssadmin/WMI
  • Поетапне виведення даних через MEGA/Rclone
  • Часткове відновлення ключів, де це можливо
СІМ'Я // ГІПЕРВІЗОР

Akira • Royal • Rhysida

  • Зупинка та шифрування ESXi на рівні VMFS
  • Програмне забезпечення-вимагач Linux ELF на пристроях
  • Відновлення томів на рівні сховища даних
  • Аудит цілісності на стороні гіпервізора
СІМ'Я // ТІЛЬКИ ВИМАГАННЯ

Cl0p • Karakurt • RansomHub

  • Чисте викрадення даних, без шифрування
  • Моніторинг та видалення сайтів, що витокують інформацію
  • Координація розкриття інформації відповідно до законодавства
  • Керування комунікаціями оператора
Міст реагування

аналітик вже
стежить за годинником.

У той момент, коли ви зателефонуєте, запускається спільний міст із зафіксованими за часом діями, зберіганням доказів та дошкою серйозності інциденту в режимі реального часу. Ваша страхова компанія та юридична команда можуть приєднатися в режимі «тільки для читання».

00
годин
47
хвилин
12
секунди
наживо
00:02 аналітик-04 приєднався до мосту
00:05 хостdc01 ізольовано на комутаторі
00:11Спроба горизонтального проникнення заблокована — 10.4.2.88 → 10.4.2.12
00:18знімок пам'яті збережено — 4 хости
00:26збіг штамів: lockbit 3.x (87%)
00:34Репозиторій резервних копій неушкоджений — veeam01 не змінено
00:41проект плану відновлення — очікується затвердження

Без таємниць. Без мовчання.

Кожен інцидент PWN-ALL відбувається за тим самим шаблоном мосту, який вже прийнятий вашими регуляторними органами та кіберстраховиком. Ви бачите те саме, що й ми. Ви затверджуєте кожну руйнівну дію. Ніщо не шифрується, не видаляється та не оплачується без вашого підпису.

Після локалізації ви отримаєте звіт про ланцюжок зберігання, хронологію, що відповідає класифікації MITRE ATT&CK, та план зміцнення безпеки на 30/60/90 днів — а не PDF-файл, заповнений скріншотами.

Поширені

питання
, які люди задають о 3-й ночі.

Чи слід платити викуп?

Це майже ніколи не є правильним першим кроком. Ми ведемо переговори лише як крайній захід, поки оцінюються варіанти відновлення, і лише за умови отримання юридичного дозволу та дозволу на санкції. У ~94% наших випадків повне або часткове відновлення можливе без оплати.

Як швидко ви можете приєднатися до конференції?

Наш SLA передбачає, що ми з’явимося на спільній платформі з вашою командою протягом 60 хвилин від першого дзвінка до аналітика. Надання рекомендацій щодо локалізації зазвичай починається протягом перших 15 хвилин, а паралельно проводиться оцінка масштабів інциденту.

Ми вже вимкнули все. Це погано?

Це не ідеальний варіант — у оперативній пам'яті зберігаються ключі, введені процеси та сліди оператора — але ситуацію можна виправити. Не запускайте нічого, доки ми не підключимося. У нас є процедури для «холодної» сортування.

Ви співпрацюєте з нашим кіберстраховиком?

Так. PWN-ALL побудований так, щоб підключатися до стандартних панелей IR. Ми надаємо страховику дії з часовими мітками, контроль витрат та остаточний звіт у форматі, який приймають більшість страховиків.

Що робити, якщо дані були не тільки зашифровані, а й викрадені?

Ми окремо визначаємо обсяг витоку: що було викрадено, звідки та на який термін. Потім ми координуємо розкриття інформації, юридичні питання та — за необхідності — моніторинг сайтів, з яких стався витік, і комунікацію з операторами.

Чи можете ви запобігти наступному випадку?

Це фаза 4. Усунення першопричини, гігієна ідентифікації, впровадження EDR/MFA та постійний моніторинг — у поєднанні з VulnScan та ConnGuard для периметра.

24 / 7 / 365

не чекайте
понеділка вранці.

З кожною годиною затримки резервні копії стираються, докази втрачають чинність, а зловмисники заглиблюються все далі. PWN-ALL відповідає в будь-який день, у вихідні та свята — час не має значення, і для нас теж.

ЗАТЕЛЕФОНУЙТЕ +971 58 594 6337 → Запит на укладення договору
SIGNAL ДОСТУПНИЙ ЗА ТИМ Ж НОМЕРОМ
50% атак все ще закінчуються шифруванням. Не чекайте, щоб дізнатися, до якої половини ви потрапите.