# AN0934 — Analytic 0934 ## Descrição Este analytic detecta scripts shell ou utilitários deletando `/etc/systemd/system/rescue.target`, backups de `/etc/fstab` ou partições `/boot/efi`, além do uso de `chattr` para bloquear a auto-recuperação de snapshots. A telemetria inclui monitoramento de sistema de arquivos via inotify/fanotify, logs de auditoria do kernel para operações de deleção em caminhos críticos de sistema e comandos `chattr` registrados por auditd. Em Linux, a inibição de recuperação do sistema é frequentemente observada em ransomware multiplataforma que visa servidores, eliminando pontos de restauração e garantindo que a descriptografia paga sejá o único caminho de recuperação disponível. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] --- *Fonte: [MITRE ATT&CK — AN0934](https://attack.mitre.org/detectionstrategies/DET0329#AN0934)*