# AN0411 — Analytic 0411 ## Descrição Detecta adversários que executam ferramentas de linha de comando (como `del`, `cipher /w`, SDelete) ou scripts para deletar ou sobrescrever recursivamente arquivos de usuário ou sistema, correlacionado com atividade anormal de I/O de arquivos, escritas no registro ou adulteração em diretórios críticos do sistema. A telemetria necessária inclui logs de criação de processos (Sysmon Event ID 1), eventos de acesso a arquivos (Event ID 4663) e monitoramento de integridade de arquivos em diretórios críticos. Essa detecção é essencial para identificar ataques destrutivos de ransomware ou wiper que buscam tornar sistemas irrecuperáveis como impacto final de uma intrusão. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1059-003-command-and-scripting-interpreter-windows-command-shell|T1059.003 — Windows Command Shell]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] --- *Fonte: [MITRE ATT&CK — AN0411](https://attack.mitre.org/detectionstrategies/DET0146#AN0411)*