# AN0061 — Analytic 0061 ## Descrição Detecta quando adversários desabilitam ou param serviços críticos (ex: Exchange, SQL, AV, monitoramento de endpoint) usando utilitários nativos ou chamadas de API, frequentemente precedendo ações destrutivas (T1485, T1486), com a cadeia comportamental incluindo contexto de execução elevada + stop-service/sc.exe/ChangeServiceConfigW + serviço encerrado/desabilitado + possível manipulação de arquivo subsequente. A telemetria inclui logs de eventos de serviço do Windows (Event ID 7035, 7036, 7040), execução de sc.exe ou net stop e correlação com acesso privilegiado e ações destrutivas. Esse analítico é crítico para detectar precursores de ataques de ransomware, onde a parada de serviços de backup e segurança é uma etapa padrão antes da criptografia de dados. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1489-service-stop|T1489 — Service Stop]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1485-data-destruction|T1485 — Data Destruction]] --- *Fonte: [MITRE ATT&CK — AN0061](https://attack.mitre.org/detectionstrategies/DET0021#AN0061)*