# AN0604 — Analytic 0604 ## Descrição Este analítico detecta ransomware em espaço de usuário ou nível kernel no macOS que criptografa arquivos do usuário (em Documentos, Desktop) usando `srm`, `gpg` ou payloads compilados, frequentemente correlacionado com criação de notas de resgate em múltiplos diretórios. A telemetria inclui logs do Endpoint Security Framework com eventos de escrita em massa de arquivos, alertas do macOS Unified Logging para invocações de `srm` ou ferramentas de criptografia por processos não esperados e monitoramento de acesso a diretórios de usuário em alta frequência. Essa detecção é importante pois ransomware macOS tem aumentado em sofisticação, com grupos como LockBit e outros desenvolvendo variantes macOS que visam tanto arquivos locais quanto dados sincronizados com serviços de nuvem como iCloud e Dropbox. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN0604](https://attack.mitre.org/detectionstrategies/DET0215#AN0604)*