© 2026 Criptografando Ideias. Todos os direitos reservados. A reprodução total ou parcial deste conteúdo sem permissão é proibida.
No cenário atual de ameaças cibernéticas, a detecção passiva já não é suficiente. Quando um Ransomware atinge o sistema de arquivos, cada segundo conta. Neste artigo, demonstro como desenvolvi um sistema de monitoramento em Python que utiliza Canary Files (Arquivos Isca) para disparar um protocolo de Lockdown imediato.
O Conceito de Canary Files
Arquivos "canários" são iscas colocadas em diretórios estratégicos. Eles não devem ser alterados por usuários legítimos. Se houver qualquer modificação ou criptografia nesses arquivos, o sistema assume que um processo malicioso (como um Ransomware) está em execução.
Estrutura do diretório de testes com a isca devidamente implantada.
Preparação e Integridade com SHA-256
Para evitar falsos positivos, o script não monitora apenas o acesso, mas a integridade do arquivo. Utilizamos a biblioteca watchdog para monitoramento em tempo real e validamos a alteração através do cálculo de hash SHA-256.
Gerando o hash SHA-256 original do arquivo isca via PowerShell para garantir a integridade.
O Sistema em Operação
O monitor foi configurado para rodar em modo de vigilância constante, observando qualquer evento de modificação no diretório C:\Users\eduri\OneDrive\Documentos\Canary_Test.
Dashboard do terminal confirmando que o Sistema de Defesa Ativa está em guarda e pronto para agir.
Resposta Automática: O Protocolo de Lockdown
O grande diferencial deste projeto é a mitigação automática. Assim que a modificação na isca é detectada, o script executa um comando de sistema (via netsh) para desativar a interface de rede. Isso impede que o Ransomware se propague lateralmente pela rede ou se comunique com o servidor de comando e controle (C&C).
O momento crítico: modificação detectada e execução imediata do isolamento da máquina.
Resultado Final e Validação
A eficácia do protocolo foi confirmada visualmente pela desconexão imediata do host, conforme registrado pelo Windows, e pelo log detalhado gerado pelo script.
Prova de conceito: ícone de rede bloqueado após o disparo do sistema de defesa.
Conclusão
A automação é a melhor amiga do analista de segurança. Com poucas linhas de código, transformamos um ambiente vulnerável em um sistema capaz de se autoisolar sob ataque, minimizando prejuízos e ganhando tempo precioso para a resposta a incidentes.
Nenhum comentário:
Postar um comentário
Deixe seu comentário abaixo! Sua opinião e suas experiências são muito importantes para enriquecer a discussão sobre segurança da informação no "Criptografando Ideias". Compartilhe suas dúvidas, sugestões e exemplos relacionados ao tema da postagem. Lembre-se de que este espaço é para troca de conhecimento e respeito mútuo. Se tiver alguma pergunta específica, fique à vontade para perguntar! Agradecemos sua participação!
Observações importantes:
Seu nome e endereço de e-mail (opcional) não serão divulgados publicamente.
Seu comentário passará por uma moderação para garantir um ambiente seguro e relevante para todos os leitores. Comentários ofensivos, spam ou que não estejam relacionados ao tema serão removidos.
Ao comentar, você concorda com os termos de uso do blog.
Participe da conversa e ajude a construir uma comunidade mais informada e segura!