Ransomware

analyzing-ransomware-network-indicators 可帮助分析 Zeek `conn.log` 和 NetFlow，识别 C2 beaconing、TOR 出口、数据外传以及可疑 DNS，适用于安全审计和事件响应。

analyzing-ransomware-payment-wallets 是一项只读的区块链取证技能，用于追踪勒索软件支付钱包、沿资金流向分析，并对相关地址进行聚类，以支持安全审计和事件响应。适用于你手头有 BTC 地址、交易哈希或可疑钱包，并需要有证据支撑的归因辅助时。

用于恶意软件分析的 analyzing-ransomware-encryption-mechanisms 技能，重点识别勒索软件的加密方式、密钥处理和解密可行性。可用来检查 AES、RSA、ChaCha20、混合方案以及可能支持恢复的实现缺陷。

analyzing-ransomware-leak-site-intelligence 可帮助监控勒索软件数据泄露站点，提取受害者与团伙信号，并生成结构化威胁情报，用于事件响应、行业风险研判和对手追踪。

detecting-ransomware-encryption-behavior 帮助防御者通过熵分析、文件 I/O 监控和行为启发式规则识别勒索软件式加密行为。它适用于事件响应、SOC 调优和红队验证，能在你需要快速发现批量文件变更、连续重命名和可疑进程活动时派上用场。

deploying-ransomware-canary-files 技能可帮助安全团队在关键目录中部署诱饵文件，并监控读取、修改、重命名或删除事件，以便尽早发现勒索软件迹象。它适用于 Security Audit 工作流、轻量级检测，以及通过 Slack、email 或 syslog 发出告警，但不能替代 EDR 或备份。

面向需要结构化勒索软件响应手册的 SOC 团队的 building-soc-playbook-for-ransomware 技能。它涵盖检测触发、遏制、清除、恢复，以及符合 NIST SP 800-61 和 MITRE ATT&CK 的审计就绪流程。可用于实用的手册编写、桌面推演和 Security Audit 支持。