# AN0933 — Analytic 0933 ## Descrição Este analytic detecta cadeias de processo que usam utilitários nativos como `vssadmin`, `wbadmin`, `diskshadow`, `bcdedit`, `REAgentC` e `wmic` com argumentos para deletar shadow copies, desabilitar recuperação ou remover catálogos de backup. A telemetria inclui eventos de criação de processo (Sysmon Event ID 1 / Event ID 4688) com análise de linha de comando e correlação temporal entre múltiplos utilitários destrutivos. A deleção de shadow copies é uma etapa quase universal em ataques de ransomware moderno, pois elimina a capacidade de recuperação rápida pelo usuário sem precisar de backup externo, sendo um indicador de comprometimento de alta fidelidade. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] --- *Fonte: [MITRE ATT&CK — AN0933](https://attack.mitre.org/detectionstrategies/DET0329#AN0933)*