CÓ SỰ CỐ ĐANG DIỄN RA? GỌI +971 58 594 6337 · CÓ SIGNAL · CẦU NỐI PHẢN HỒI 24/7 THỜI GIAN CHỨNG NGẠI TRUNG BÌNH: 47 PHÚT LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — THƯ VIỆN GIẢI MÃ ĐÃ ĐƯỢC CẬP NHẬT KHÔNG TẮT NGUỒN MÁY BỊ NHIỄM — GIỮ LẠI BỘ NHỚ SỰ CỐ ĐANG DIỄN RA? GỌI +971 58 594 6337 · CÓ TÍN HIỆU · CẦU NỐI PHẢN ỨNG 24/7 THỜI GIAN CHỨNG NGẠI TRUNG BÌNH: 47 PHÚT LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — THƯ VIỆN GIẢI MÃ ĐÃ ĐƯỢC CẬP NHẬT KHÔNG TẮT NGUỒN MÁY CHỦ BỊ NHIỄM — GIỮ LẠI BỘ NHỚ
Tiếng Anh Tiếng Tây Ban Nha Tiếng Hungary Tiếng Ả Rập Русский Tiếng Ukraina Tiếng Đức Tiếng Slovenia Tiếng Thái Tiếng Trung Tiếng Nhật Tiếng Hàn Tiếng Rumani Tiếng Pháp Tiếng Hindi Tiếng Bengali Tiếng Indonesia Tiếng Bồ Đào Nha Tiếng Ý Tiếng Tagalog Tiếng Việt Tiếng Ba Tư Tiếng Swahili Tiếng Miến Điện Amharic Tiếng Thổ Nhĩ Kỳ Tiếng Urdu Tiếng Java Tiếng Ba Lan Tiếng Séc
system.log
5 phút gần nhất · 20 sự kiện
Ảnh chụp nhanh
7 ngày qua · 7 bản sao lưu
Không tìm thấy bản sao lưu
Kho lưu trữ cuối cùng được biết đến: không thể truy cập

chi phí thực tế
thực sự tốn kém như thế nào.

Dựa trên dữ liệu phản ứng sự cố nội bộ của chúng tôi và các báo cáo công khai đã được xác minh trong giai đoạn 2024–2025 — nhiều ngành nghề, nhiều khu vực địa lý.

01
5,08 triệu
Chi phí tổng cộng trung bình của một vụ tấn công ransomware hoặc tống tiền
02
241
Số ngày trung bình để phát hiện và kiểm soát một vụ vi phạm mà không có đội ứng phó sự cố chuyên trách
03
24
Số ngày ngừng hoạt động trung bình cho mỗi cuộc tấn công ransomware
04
4
Số ngày trung bình từ khi xâm nhập ban đầu đến khi tải mã hóa
05
50
Các cuộc tấn công ransomware vẫn kết thúc bằng việc dữ liệu bị mã hóa
06
28
Trong số các nạn nhân bị mã hóa, có 28% cũng bị đánh cắp dữ liệu để tống tiền
Tự đánh giá // 4 câu hỏi • 30 giây

trước khi bạn hoảng loạn,
hãy đánh giá mức độ nghiêm trọng.

Trả lời bốn câu hỏi. Chúng tôi sẽ tạo ra một điểm số mức độ nghiêm trọng theo thời gian thực và bốn hành động đầu tiên mà nhóm của bạn nên thực hiện ngay lập tức — trước khi ai đó bấm phím trong cơn giận dữ.

CÂU HỎI 01 / 04
Bạn phát hiện điều gì đầu tiên?
Điều có thể quan sát được sớm nhất sẽ quyết định bạn còn bao nhiêu thời gian.
CÂU HỎI 02 / 04
Nó đã lây lan đến đâu?
Đếm số máy chủ đã được xác nhận bị mã hóa hoặc bị can thiệp.
CÂU HỎI 03 / 04
Tình trạng sao lưu?
"Không thể thay đổi" có nghĩa là thực sự không thể thay đổi — khóa đối tượng, cách ly hoàn toàn hoặc ngoại tuyến.
CÂU HỎI 04 / 04
Dấu hiệu của việc đánh cắp dữ liệu?
Việc rò rỉ dữ liệu biến công việc khôi phục thành công việc tiết lộ thông tin.
KẾT QUẢ
Hoàn tất phân loại.
Đây là điểm số sơ bộ. Một chuyên gia phân tích của PWN-ALL có thể thu hẹp phạm vi trong 15 phút trên cầu phản ứng.
MỞ CẦU PHẢN HỒI
▸ KẾT LUẬN TRỰC TIẾP
đang chờ nhập liệu
Trả lời các câu hỏi ở bên trái. Mức độ nghiêm trọng được cập nhật theo thời gian thực.
00255075100

▸ Bốn hành động đầu tiên

  1. Cách ly các máy chủ bị ảnh hưởng khỏi mạng — không tắt nguồn.
  2. Bảo toàn bản sao bóng bộ nhớ và khối lượng trên ít nhất một máy chủ.
  3. Hủy bỏ thông tin đăng nhập đã sử dụng trong 72 giờ qua; thay đổi tài khoản dịch vụ.
  4. Mở cầu nối phản ứng với PWN•ALL trước khi chạm vào các bản sao lưu.
Quy trình xử lý

bốn giai đoạn.
một cầu nối.

Chúng tôi xử lý mọi sự cố trên một cầu nối phản ứng duy nhất đã được kiểm toán — đội ngũ của bạn, các chuyên gia phân tích DFIR của chúng tôi, một dòng thời gian chung và các biên nhận ở mỗi bước.

GIAI ĐOẠN 01 // 0–60 phút

Chặn

Cách ly ở cấp độ mạng mà không làm mất bằng chứng. Chúng tôi ngăn chặn sự di chuyển ngang tại thiết bị chuyển mạch, chặn C2, đóng băng các tài khoản có đặc quyền và bảo toàn bộ nhớ trên các máy chủ trung gian.

Thời gian lưu trú trung bình trước khi mã hóa: 4 ngày. Khoảng thời gian để ngăn chặn được tính bằng giờ, không phải ca làm việc.
GIAI ĐOẠN 02 // 1–6 giờ

Phạm vi

Phân loại pháp y mọi tài sản được mã hóa, vectơ truy cập ban đầu, tính bền vững và dấu vết rò rỉ dữ liệu. Chúng tôi xác định chủng virus, TTP của người điều hành và thời gian tồn tại.

Nếu không có đội ngũ IR chuyên trách, vòng đời trung bình của một vụ vi phạm kéo dài 241 ngày từ khi xâm nhập đến khi ngăn chặn.
GIAI ĐOẠN 03 // 6–48 giờ

Phục hồi

Xây dựng lại môi trường sạch, kiểm tra tính toàn vẹn của bản sao lưu, so sánh công cụ giải mã với thư viện nội bộ của chúng tôi và — trong trường hợp có khóa — giải mã theo từng giai đoạn dữ liệu sản xuất.

Thời gian ngừng hoạt động trung bình do ransomware là 24 ngày. Các tổ chức có sự chuẩn bị sẵn sàng có thể rút ngắn khoảng thời gian đó xuống dưới một tuần.
GIAI ĐOẠN 04 // 2–14 ngày

Tăng cường

Khắc phục nguyên nhân gốc rễ, dọn dẹp thông tin nhận dạng, triển khai EDR/MFA ở những nơi còn thiếu, và lập báo cáo bằng văn bản mà hội đồng quản trị, công ty bảo hiểm và cơ quan quản lý của bạn có thể thực sự đọc được.

32% các sự cố ransomware bắt đầu từ việc khai thác lỗ hổng bảo mật. Giai đoạn 4 sẽ đóng cửa lỗ hổng đã cho phép chúng xâm nhập.
Những gì chúng tôi xử lý

Mỗi biến thể đều có
một điểm yếu. Chúng tôi sẽ tìm ra nó.

Thư viện nghiên cứu giải mã và thông tin đàm phán của chúng tôi được cập nhật từ các trường hợp thực tế mà chúng tôi giải quyết hàng tuần. Nếu có cách khôi phục mà không cần trả tiền, chúng tôi sẽ tìm ra trước tiên.

HỆ THỐNG // TẬP TRUNG VÀO WINDOWS

LockBit • BlackCat • Play

  • Mục tiêu là máy chủ điều khiển miền và Veeam
  • Xóa bản sao bóng qua vssadmin/WMI
  • Truyền dữ liệu qua MEGA/Rclone
  • Phục hồi khóa một phần khi có thể
HỆ THỐNG // HYPERVISOR

Akira • Royal • Rhysida

  • Dừng và mã hóa ESXi ở lớp VMFS
  • Phần mềm tống tiền Linux ELF trên các thiết bị
  • Phục hồi khối lượng ở cấp độ kho dữ liệu
  • Kiểm tra tính toàn vẹn phía hypervisor
HỆ THỐNG // CHỈ TỐNG TIỀN

Cl0p • Karakurt • RansomHub

  • Chỉ đánh cắp dữ liệu, không mã hóa
  • Giám sát và gỡ bỏ các trang web rò rỉ
  • Phối hợp công bố thông tin pháp lý
  • Chúng tôi quản lý liên lạc của nhà điều hành
Cầu nối phản ứng

một nhà phân tích đang
theo dõi từng giây.

Ngay khi bạn gọi, một cầu nối chia sẻ sẽ được thiết lập với các hành động được ghi thời gian, quản lý bằng chứng và bảng mức độ nghiêm trọng trực tiếp. Công ty bảo hiểm và đội ngũ pháp lý của bạn có thể tham gia với quyền chỉ đọc.

00
giờ
47
phút
12
giây
trực tiếp
00:02 nhà phân tích-04đã tham gia cầu nối
00:05 máy chủdc01 bị cách ly tại bộ chuyển mạch
00:11Nỗ lực xâm nhập ngang bị chặn — 10.4.2.88 → 10.4.2.12
00:18bản chụp bộ nhớ đã được bảo mật — 4 máy chủ
00:26khớp chủng: lockbit 3.x (87%)
00:34kho lưu trữ dự phòng còn nguyên vẹn — veeam01 không bị ảnh hưởng
00:41bản nháp kế hoạch khôi phục — đang chờ phê duyệt

Không có bí ẩn. Không có im lặng.

Mọi sự cố PWN-ALL đều chạy trên cùng một mẫu cầu nối mà cơ quan quản lý và công ty bảo hiểm mạng của bạn đã chấp nhận. Bạn thấy những gì chúng tôi thấy. Bạn phê duyệt mọi hành động phá hủy. Không có gì được mã hóa, xóa bỏ hoặc thanh toán mà không có sự chấp thuận của bạn.

Sau khi sự cố được kiểm soát, bạn sẽ nhận được báo cáo chuỗi lưu giữ, dòng thời gian được lập bản đồ theo MITRE ATT&CK và kế hoạch củng cố an ninh trong 30/60/90 ngày — chứ không phải một tệp PDF đầy ảnh chụp màn hình.

Các câu hỏi


mà mọi người thường hỏi vào lúc 3 giờ sáng.

Chúng ta có nên trả tiền chuộc không?

Hầu như không bao giờ là bước đi đầu tiên đúng đắn. Chúng tôi chỉ đàm phán như một biện pháp cuối cùng trong khi các phương án khôi phục đang được đánh giá, và chỉ khi có sự chấp thuận về mặt pháp lý và các biện pháp trừng phạt. Trong khoảng 94% các trường hợp của chúng tôi, có thể khôi phục toàn bộ hoặc một phần mà không cần thanh toán.

Bạn có thể lên cầu nối nhanh như thế nào?

SLA của chúng tôi là dưới 60 phút kể từ cuộc gọi đầu tiên đến một nhà phân tích trên cầu nối chung với nhóm của bạn. Hướng dẫn ngăn chặn thường bắt đầu trong vòng 15 phút đầu tiên trong khi việc xác định phạm vi diễn ra song song.

Chúng tôi đã tắt hết mọi thứ. Điều đó có tệ không?

Điều đó không lý tưởng — bộ nhớ tạm thời lưu trữ các khóa, các quy trình được chèn vào và dấu vết của người vận hành — nhưng vẫn có thể khôi phục được. Đừng khởi động lại bất kỳ thiết bị nào cho đến khi chúng tôi kết nối được. Chúng tôi có các quy trình để xử lý khẩn cấp.

Quý vị có hợp tác với công ty bảo hiểm mạng của chúng tôi không?

Có. PWN-ALL được cấu trúc để kết nối với các bảng điều khiển IR tiêu chuẩn. Chúng tôi cung cấp cho công ty bảo hiểm các hành động có ghi thời gian, kiểm soát chi phí và báo cáo cuối cùng theo định dạng mà hầu hết các nhà mạng chấp nhận.

Điều gì sẽ xảy ra nếu dữ liệu bị đánh cắp cũng như bị mã hóa?

Chúng tôi xác định phạm vi rò rỉ dữ liệu riêng biệt: những gì đã bị lấy đi, từ đâu, trong bao lâu. Sau đó, chúng tôi phối hợp việc công bố thông tin, các vấn đề pháp lý và — khi thích hợp — giám sát trang web rò rỉ và liên lạc với người điều hành.

Bạn có thể ngăn chặn vụ tiếp theo không?

Đó là giai đoạn 4. Khắc phục nguyên nhân gốc rễ, bảo vệ danh tính, triển khai EDR/MFA và giám sát liên tục — kết hợp với VulnScanConnGuard cho vành đai bảo vệ.

24/7/365

đừng chờ đến
sáng thứ Hai.

Mỗi giờ bạn trì hoãn, bản sao lưu sẽ bị xóa, bằng chứng sẽ hết hạn và các nhà khai thác sẽ lẩn trốn sâu hơn. PWN-ALL trả lời ngay trong ngày, cuối tuần, ngày lễ — thời gian không quan tâm, và chúng tôi cũng vậy.

GỌI +971 58 594 6337 → Yêu cầu tư vấn
SIGNAL CÓ SẴN TRÊN CÙNG SỐ ĐIỆN THOẠI
50% các cuộc tấn công vẫn kết thúc bằng mã hóa. Đừng chờ đợi để biết mình thuộc nửa nào.