# AN0602 — Analytic 0602 ## Descrição Este analítico detecta operações de escrita de arquivos em alta frequência com extensões incomuns seguidas de criação de notas de resgate, adulteração do registro ou exclusão de cópias de sombra, frequentemente utilizando ferramentas de linha de comando como `vssadmin`, `wbadmin`, `cipher` ou PowerShell. A telemetria inclui monitoramento de integridade de arquivos com alertas de volume e extensão anômala (Sysmon Event ID 11), eventos de execução de processos de ferramentas de backup/recuperação (Event ID 4688) e logs de modificação do registro correlacionados com as operações de arquivo. Essa detecção é crítica pois representa o padrão de execução de ransomware no Windows, e a combinação de alta taxa de modificação de arquivos com exclusão de backups é práticamente diagnóstica de uma infecção ativa de ransomware. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] --- *Fonte: [MITRE ATT&CK — AN0602](https://attack.mitre.org/detectionstrategies/DET0215#AN0602)*