Ransomware

analyzing-ransomware-network-indicators 可協助分析 Zeek conn.log 與 NetFlow，找出 C2 beaconing、TOR 出口、資料外傳，以及可疑 DNS，適用於安全稽核與事件應變。

analyzing-ransomware-payment-wallets 是一個唯讀的區塊鏈鑑識技能，用於追蹤勒索軟體收款錢包、追查資金流向，並對相關地址進行群聚分析，以支援資安稽核與事件應變。當你手上有 BTC 地址、交易雜湊或可疑錢包，且需要有證據基礎的歸因支援時，這項技能特別適合。

analyzing-ransomware-encryption-mechanisms 惡意程式分析技能，重點在辨識勒索軟體的加密方式、金鑰處理與解密可行性。可用來檢視 AES、RSA、ChaCha20、混合式方案，以及可能有助於資料復原的實作缺陷。

analyzing-ransomware-leak-site-intelligence 可用來監控勒索軟體資料外洩站、擷取受害者與團伙訊號，並產出結構化威脅情資，支援事件應變、產業風險檢視與對手追蹤。

detecting-ransomware-encryption-behavior 可協助防守方透過熵值分析、檔案 I/O 監控與行為式啟發規則，辨識類勒索軟體的加密行為。適合事件應變、SOC 調校與紅隊驗證等情境，當你需要快速偵測大量檔案變更、批次重新命名與可疑程序活動時特別有用。

deploying-ransomware-canary-files 這項技能可協助資安團隊在關鍵目錄部署誘餌檔案，並監控讀取、修改、重新命名或刪除事件，以便提早發現勒索軟體跡象。適合用於 Security Audit 工作流程、輕量級偵測，以及透過 Slack、email 或 syslog 發出警示，但不能取代 EDR 或備份。

building-soc-playbook-for-ransomware 是一款適合需要結構化勒索軟體應變手冊的 SOC 團隊使用的技能。內容涵蓋偵測觸發條件、隔離、清除、復原，以及符合 NIST SP 800-61 與 MITRE ATT&CK 的稽核就緒流程。可用於實作可落地的 playbook 建置、桌上演練，以及 Security Audit 支援。