Should we pay the ransom?

Not before containment and evidence preservation. ChainBreak first scopes the incident, protects backups and logs, checks for decryptor options, and gives you a defensible recovery path.

Can you recover files without backups?

Sometimes. Recovery depends on the ransomware family, encryption implementation, remaining shadow copies, partial files, endpoint artifacts, and available decryptor research.

Do you work with our cyber-insurer?

Yes. ChainBreak can provide timestamped actions, cost controls, and final incident reports in formats commonly accepted by cyber-insurance carriers.

What if data was stolen as well as encrypted?

We scope exfiltration separately, identify what was taken, coordinate disclosure support, preserve evidence, and provide leak-site monitoring where appropriate.

رینسم ویئر بحالی اور واقعے کا ردعمل

فعال واقعہ؟ کال کریں +971 58 594 6337 · سگنل دستیاب ہے · 24/7 جوابی برج اوسط قابو پانے کا وقت: 47 منٹ LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — ڈی کرپٹر لائبریری اپ ڈیٹ شدہ متاثرہ ہوسٹس کو بند نہ کریں — میموری محفوظ رکھیں فعال واقعہ؟ کال کریں +971 58 594 6337 · سگنل دستیاب ہے · 24/7 جوابی برج اوسط قابو پانے کا وقت: 47 منٹ لاک بِٹ / بلیک کیٹ / اکیرا / پلے / ریسیڈا — ڈی کرپٹر لائبریری اپ ڈیٹ شدہ متاثرہ ہوسٹس کو بند نہ کریں — میموری محفوظ رکھیں

انتظار کی اصل لاگت

کیا ایک غیر علاج شدہ
واقہ حقیقت میں کتنا لاگت کرتا ہے۔

ہمارے اندرونی واقعے کے ردعمل کے ڈیٹا اور 2024–2025 کے دوران متعدد صنعتوں اور جغرافیائی علاقوں میں تصدیق شدہ عوامی رپورٹنگ سے ماخوذ۔

$5.08 ملین

رینسم ویئر یا جبری وصولی کے واقعے کی اوسط کل لاگت

241

وقفے کی اوسط شناخت اور روک تھام کے لیے دن، وقف شدہ IR کے بغیر

ہر رینسم ویئر حملے کے دوران اوسط آپریشنل ڈاؤن ٹائم کے دن

ابتدائی دراندازی سے انکرپشن پے لوڈ تک کے درمیانی دن

50%

رینسم ویئر حملوں میں اب بھی ڈیٹا انکرپٹ ہو کر ختم ہوتا ہے

28%

انفراسرکلر حملوں کے شکار افراد کے ڈیٹا کو بھی بلیک میلنگ کے لیے نکالا گیا

خود تشخیص // 4 سوالات • 30 سیکنڈ

پریشان ہونے سے پہلے،
دھماکے کی شدت ناپیں۔

چار سوالات کے جواب دیں۔ ہم ایک لائیو شدت کا اسکور تیار کریں گے اور آپ کی ٹیم کے لیے فوری طور پر پہلی چار کارروائیاں بتائیں گے — اس سے پہلے کہ کوئی غصے میں کی بورڈ کو ہاتھ لگائے۔

سوال 01 / 04

آپ نے سب سے پہلے کیا پایا؟

سب سے پہلے دکھائی دینے والی علامت طے کرتی ہے کہ آپ کے پاس کتنا وقت ہے۔

سوال 02 / 04

یہ کتنی دور تک پھیل چکا ہے؟

تصدیق شدہ انکرپشن یا چھیڑ چھاڑ والے ہوسٹس کی تعداد۔

سوال 03 / 04

بیک اپ کی حیثیت؟

"Immutable" کا مطلب ہے واقعی ناقابلِ تبدیلی — آبجیکٹ لاک، ایئر گیپ، یا آف لائن۔

سوال 04 / 04

ڈیٹا چوری کی علامات؟

خفیہ طور پر ڈیٹا نکالنا بحالی کے کام کو افشاء کے کام میں تبدیل کر دیتا ہے۔

نتیجہ

ٹریاژ مکمل۔

یہ ایک ابتدائی اسکور ہے۔ ایک چین بریک تجزیہ کار اسے جوابی پل پر پندرہ منٹ میں محدود کر سکتا ہے۔

ریسپانس برج کھولیں →

▸ براہِ راست فیصلہ

ان پٹ کا انتظار

بائیں جانب کے سوالات کے جواب دیں۔ شدت حقیقی وقت میں اپ ڈیٹ ہوتی رہتی ہے۔

00255075100

▸ پہلے چار اقدامات

متاثرہ ہوسٹس کو نیٹ ورک سے الگ کریں — بند نہ کریں۔
کم از کم ایک ہوسٹ پر میموری اور والیوم شیڈو کاپیاں محفوظ رکھیں۔
گزشتہ 72 گھنٹوں میں استعمال ہونے والی شناختی دستاویزات منسوخ کریں؛ سروس اکاؤنٹس کو تبدیل کریں۔
بیک اپس کو ہاتھ لگانے سے پہلے PWN•ALL کے ساتھ ایک ریسپانس برج کھولیں۔

جوابی پائپ لائن

چار مراحل۔
ایک پل۔

ہم ہر واقعے کو ایک واحد، آڈٹ شدہ ریسپانس برج پر چلاتے ہیں — آپ کی ٹیم، ہمارے DFIR تجزیہ کار، ایک مشترکہ ٹائم لائن، اور ہر مرحلے پر رسیدیں۔

مرحلہ 01 // 0–60 منٹ

◉

روک تھام

نیٹ ورک سطح پر علیحدگی بغیر شواہد کو ختم کیے۔ ہم سوئچ پر افقی نقل و حرکت روکتے ہیں، C2 کو بلاک کرتے ہیں، مراعات یافتہ اکاؤنٹس کو منجمد کرتے ہیں، اور پائیوٹ ہوسٹس پر میموری محفوظ رکھتے ہیں۔

انکرپشن سے پہلے اوسط قیام کا وقت: 4 دن۔ قابو کرنے کی مدت شفٹوں میں نہیں بلکہ گھنٹوں میں ناپی جاتی ہے۔

مرحلے 02 // 1–6 گھنٹے

⬢

دائِرہ

ہر انکرپٹڈ اثاثے، ابتدائی رسائی کے راستے، مستقل مزاجی اور معلومات کی منتقلی کے سراغ کی عدالتی جانچ۔ ہم اسٹریین، آپریٹر کے TTPs اور ٹھہراؤ کے وقت کی شناخت کرتے ہیں۔

ایک وقف شدہ IR ٹیم کے بغیر، دراندازی سے قابو پانے تک اوسطاً ہر خلاف ورزی کا دورانیہ 241 دن ہوتا ہے۔

مرحلہ 03 // 6–48 گھنٹے

⟁

بحال کرنا

کلین روم کی ازسرِ نو تعمیر، بیک اپ کی سالمیت کی جانچ، ہمارے اندرونی لائبریری کے خلاف ڈی کرپٹر کا ملاپ، اور — جہاں چابیاں موجود ہوں — پروڈکشن ڈیٹا کی مرحلہ وار ڈی کرپشن۔

اوسطاً رینسم ویئر کی بندش 24 دن رہتی ہے۔ تیار شدہ تنظیمیں اس وقفے کو ایک ہفتے سے بھی کم کر دیتی ہیں۔

مرحلہ 04 // 2–14 دن

✚

مضبوط کریں

جڑ وجہ کی اصلاح، شناخت کی صفائی، جہاں EDR/MFA موجود نہیں ہیں وہاں ان کا نفاذ، اور ایک تحریری رپورٹ جو آپ کا بورڈ، بیمہ کنندہ اور نگران ادارہ حقیقتاً پڑھ سکیں۔

32% رینسم ویئر کے واقعات ایک استحصال شدہ کمزوری سے شروع ہوتے ہیں۔ مرحلہ 4 اُس دروازے کو بند کر دیتا ہے جس سے وہ اندر آئے تھے۔

ہم کیا سنبھالتے ہیں

ہر اسٹریین کا ایک
کمزور درز۔ ہم اسے تلاش کرتے ہیں۔

ہماری ڈی کرپٹر ریسرچ لائبریری اور مذاکرات کی انٹیلی جنس ہر ہفتے بند کیے جانے والے حقیقی کیسز سے تازہ ترین کی جاتی ہے۔ اگر ادائیگی کیے بغیر بازیابی کا کوئی راستہ ہو تو ہم سب سے پہلے اسے تلاش کرتے ہیں۔

خاندان // ونڈوز مرکوز

لاک بِٹ • بلیک کیٹ • پلے

ڈومین کنٹرولر اور Veeam کو ہدف بنانا
vssadmin/WMI کے ذریعے شیڈو کاپی مٹانا
MEGA/Rclone کے ذریعے مرحلہ وار اخراج
جہاں قابلِ اطلاق ہو، جزوی کلید کی بازیابی

خاندان // ہائپروائزر

اکيرا • رائل • رائسيدا

ESXi VMFS پرت پر روک کر انکرپٹ کرنا
Linux ELF رینسم ویئر آلات پر
ڈیٹا اسٹور کی سطح پر والیوم کی بحالی
ہائپروائزر کی جانب سے سالمیت کا آڈٹ

خاندان // صرف جبری وصولی

Cl0p • Karakurt • RansomHub

محض ڈیٹا چوری، کوئی انکرپشن نہیں
لیک سائٹ کی نگرانی اور ہٹانا
قانونی انکشاف کے لیے رابطہ کاری
آپریٹر مواصلات ہماری نگرانی میں

جوابی پل

ایک تجزیہ کار پہلے ہی
گھڑی دیکھ رہا ہے۔

جیسے ہی آپ کال کرتے ہیں، ایک مشترکہ برج ٹائم اسٹیمپ شدہ کارروائیوں، ثبوتوں کی تحویل، اور ایک لائیو شدت بورڈ کے ساتھ فعال ہو جاتا ہے۔ آپ کا بیمہ کنندہ اور قانونی ٹیم صرف پڑھنے کی اجازت کے ساتھ شامل ہو سکتے ہیں۔

گھنٹے

منٹ

سیکنڈز

◉

براہِ راست

00:02 تجزیہ کار-04 نے برج میں شمولیت اختیار کی

00:05ہوسٹdc01 کو سوئچ پر الگ کیا گیا

00:11لٹرل کوشش بلاک کی گئی — 10.4.2.88 → 10.4.2.12

00:18 میموریکا سنپ شاٹ محفوظ کیا گیا — 4 ہوسٹس

00:26سٹرینمیچ: لاک بِٹ 3.x (87%)

00:34بیک اپریپو سالم — veeam01 بالکل محفوظ

00:41بحالی کے منصوبے کا مسودہ — منظوری کے منتظر

کوئی معمہ نہیں۔ کوئی خاموشی نہیں۔

ہر ChainBreak واقعہ اسی پل ٹیمپلیٹ پر چلتا ہے جسے آپ کے ریگولیٹرز اور سائبر انشورر پہلے ہی قبول کر چکے ہیں۔ آپ وہی دیکھتے ہیں جو ہم دیکھتے ہیں۔ آپ ہر تباہ کن کارروائی کی منظوری دیتے ہیں۔ آپ کی منظوری کے بغیر کچھ بھی انکرپٹ، حذف یا ادا نہیں کیا جاتا۔

کنٹینمنٹ کے بعد، آپ کو ایک چین آف کسٹڈی رپورٹ، MITRE ATT&CK کے مطابق نقشہ بندی شدہ ٹائم لائن، اور 30/60/90 روزہ ہارڈننگ پلان ملتا ہے — نہ کہ اسکرین شاٹس سے بھری ہوئی PDF۔

اکثر پوچھے جانے والے سوالات

سوالات
لوگ صبح 3 بجے پوچھتے ہیں۔

کیا ہمیں تاوان ادا کرنا چاہیے؟

تقریباً کبھی بھی پہلا درست اقدام نہیں ہوتا۔ ہم صرف آخری چارہ کے طور پر مذاکرات کرتے ہیں جبکہ بحالی کے اختیارات کا جائزہ لیا جا رہا ہوتا ہے، اور صرف قانونی اور پابندیوں کی منظوری کے ساتھ۔ ہمارے تقریباً 94% کیسز میں، ادائیگی کے بغیر مکمل یا جزوی بحالی ممکن ہے۔

آپ پل پر کتنی تیزی سے موجود ہو سکتے ہیں؟

ہماری SLA پہلی کال سے آپ کی ٹیم کے ساتھ مشترکہ برج پر کسی تجزیہ کار تک پہنچنے میں 60 منٹ سے کم ہے۔ کنٹینمنٹ کی رہنمائی عموماً پہلے 15 منٹ کے اندر شروع ہو جاتی ہے جبکہ اسکوپنگ متوازی طور پر چلتی رہتی ہے۔

ہم نے پہلے ہی سب کچھ بند کر دیا ہے۔ کیا یہ برا ہے؟

یہ مثالی نہیں ہے — وولیٹائل میموری میں کیز، انجیکٹڈ پراسیسز، اور آپریٹر کے ٹریسز ہوتے ہیں — لیکن اسے بحال کیا جا سکتا ہے۔ جب تک ہم لائن پر نہ ہوں، کسی بھی چیز کو دوبارہ بوٹ نہ کریں۔ ہمارے پاس کولڈ-ٹریاژ کے لیے طریقہ کار موجود ہیں۔

کیا آپ ہمارے سائبر انشورر کے ساتھ کام کرتے ہیں؟

جی ہاں۔ چین بریک کو معیاری IR پینلز میں ضم کرنے کے لیے ڈیزائن کیا گیا ہے۔ ہم بیمہ کنندہ کو ٹائم اسٹیمپ شدہ کارروائیاں، لاگت کے کنٹرولز، اور ایک حتمی رپورٹ فراہم کرتے ہیں جو زیادہ تر کیریئرز قبول کرتے ہیں۔

اگر ڈیٹا چوری ہونے کے ساتھ ساتھ انکرپٹ بھی ہو گیا تو؟

ہم ایکسفِل (ڈیٹا کے باہر منتقل ہونے) کا دائرہ کار علیحدہ طور پر طے کرتے ہیں: کیا لیا گیا، کہاں سے، اور کتنی دیر کے لیے۔ پھر ہم انکشاف، قانونی کارروائی، اور — جہاں مناسب ہو — لیک سائٹ کی نگرانی اور آپریٹر کے ساتھ رابطوں کا انتظام کرتے ہیں۔

کیا آپ اگلی بار روک سکتے ہیں؟

یہ مرحلہ 4 ہے۔ جڑ وجہ کا ازالہ، شناخت کی صفائی، EDR/MFA کا نفاذ، اور مسلسل نگرانی — سرحد کے لیے VulnScan اور ConnGuard کے ساتھ۔

24 / 7 / 365

کا انتظار نہ کریں
سوموار کی صبح۔

ہر گھنٹہ جو آپ تاخیر کرتے ہیں، بیک اپ مٹ جاتے ہیں، شواہد ختم ہو جاتے ہیں، اور آپریٹرز مزید اندر گھس جاتے ہیں۔ ChainBreak دن کے دن، ہفتے کے آخر میں، تعطیلات میں جواب دیتا ہے — گھڑی کو کوئی فرق نہیں پڑتا، اور ہمیں بھی نہیں۔

کال کریں +971 58 594 6337 → ریٹینر کے بارے میں استفسار

سگنل اسی نمبر پر دستیاب ہے۔
50% حملے اب بھی انکرپشن پر ختم ہوتے ہیں۔ یہ جاننے کے لیے انتظار نہ کریں کہ آپ کون سے نصف میں ہیں۔

کیا ایک غیر علاج شدہواقہ حقیقت میں کتنا لاگت کرتا ہے۔

پریشان ہونے سے پہلے،دھماکے کی شدت ناپیں۔