deploying-ransomware-canary-files
使用 Python watchdog 库在关键目录中部署并监控勒索软件诱饵文件(Canary File),实现实时文件系统事件检测。 将策略性命名的诱饵文件(模拟高价值目标,如财务记录、凭据、数据库导出)放置在勒索软件通常优先枚举的 目录中,监控对诱饵文件的任何读取、修改、重命名或删除操作,并在检测到交互时通过 Email、Slack Webhook 或 Syslog 触发即时告警,在完整加密开始前提供早期预警。
Best use case
deploying-ransomware-canary-files is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用 Python watchdog 库在关键目录中部署并监控勒索软件诱饵文件(Canary File),实现实时文件系统事件检测。 将策略性命名的诱饵文件(模拟高价值目标,如财务记录、凭据、数据库导出)放置在勒索软件通常优先枚举的 目录中,监控对诱饵文件的任何读取、修改、重命名或删除操作,并在检测到交互时通过 Email、Slack Webhook 或 Syslog 触发即时告警,在完整加密开始前提供早期预警。
Teams using deploying-ransomware-canary-files should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/deploying-ransomware-canary-files/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How deploying-ransomware-canary-files Compares
| Feature / Agent | deploying-ransomware-canary-files | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用 Python watchdog 库在关键目录中部署并监控勒索软件诱饵文件(Canary File),实现实时文件系统事件检测。 将策略性命名的诱饵文件(模拟高价值目标,如财务记录、凭据、数据库导出)放置在勒索软件通常优先枚举的 目录中,监控对诱饵文件的任何读取、修改、重命名或删除操作,并在检测到交互时通过 Email、Slack Webhook 或 Syslog 触发即时告警,在完整加密开始前提供早期预警。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 部署勒索软件诱饵文件 ## 适用场景 - 在文件服务器、NAS 设备或终端系统上部署主动勒索软件检测 - 构建早期预警系统,在勒索软件加密关键业务数据前完成检测 - 在无法部署 EDR Agent 的系统上,使用轻量级诱饵文件监控补充 EDR 解决方案 - 通过模拟诱饵文件触发来测试勒索软件应急响应流程 - 监控共享驱动器、Home 目录和备份卷中的未授权文件操作 **不适用场景**:不可替代终端保护、备份策略或网络分段。诱饵文件仅为检测层,并非预防机制。 ## 前置条件 - Python 3.8+ 及 pip - watchdog 库(`pip install watchdog`) - 对诱饵文件部署目录的写入权限 - 用于告警的 SMTP 服务器凭据或 Slack Webhook URL - 在系统目录中放置诱饵文件所需的管理员权限 ## 工作流程 ### 步骤 1:生成诱饵文件 创建具有真实文件名和内容的诱饵文件,以吸引勒索软件扫描器。文件名应使用 `Passwords.xlsx`、`Financial_Report_2026.docx`、`backup_credentials.csv` 等格式,内容为看似合理的虚假数据。将文件放置在勒索软件通常优先攻击的目录中:用户桌面、Documents 文件夹、网络共享根目录和备份路径。 ### 步骤 2:部署文件系统监控 使用 Python watchdog 库结合自定义 `FileSystemEventHandler`,监控诱饵文件路径。Handler 针对诱饵文件触发 `on_modified`、`on_deleted`、`on_moved` 和 `on_created` 事件。任何合法用户或进程都不应接触这些文件,因此任何交互都是勒索软件或未授权访问的高可信度指示器。 ### 步骤 3:配置告警管道 将文件系统监控器连接到多个告警渠道:通过 SMTP 发送邮件、发送 Slack Webhook POST、转发 Syslog 到 SIEM,以及写入本地日志文件。告警有效载荷中应包含触发事件类型、文件路径、时间戳和进程信息(如可获取)。 ### 步骤 4:验证与测试 通过程序化方式修改、重命名和删除诱饵文件,模拟勒索软件行为,验证检测管道是否正常触发。测量告警响应时间,并验证所有配置渠道的告警投递情况。 ## 核心概念 | 术语 | 定义 | |------|------| | **诱饵文件(Canary File)** | 放置在受监控目录中的诱骗文件,当被访问、修改或删除时触发告警 | | **Watchdog** | Python 文件系统监控库,使用操作系统原生 API(Linux 的 inotify、macOS 的 FSEvents、Windows 的 ReadDirectoryChangesW) | | **蜜罐文件(Honey File)** | 诱饵文件的别名;用于吸引和检测恶意活动的虚假文档 | | **熵值检测(Entropy Check)** | 通过测量文件内容的随机性来检测加密行为(勒索软件加密后产生高熵值输出) | ## 工具与系统 - **watchdog**:Python 文件系统监控库,使用操作系统原生事件 API - **smtplib**:Python 标准库,用于 SMTP 邮件告警 - **requests**:HTTP 库,用于 Slack Webhook 集成 - **hashlib**:SHA-256 哈希,用于诱饵文件完整性验证 - **psutil**:检测诱饵文件访问时的进程信息采集 ## 输出格式 ``` RANSOMWARE CANARY ALERT ======================== Timestamp: 2026-03-11T14:23:07Z Event: FILE_MODIFIED Canary File: /srv/shares/finance/Passwords.xlsx Directory: /srv/shares/finance SHA-256 Before: a3f2...8b4c SHA-256 After: 7e91...2d3f Alert Channels: [email, slack, syslog] Action: Investigate immediately - potential ransomware activity ```
Related Skills
reverse-engineering-ransomware-encryption-routine
对勒索软件加密例程进行逆向工程,以识别密码学算法、密钥生成缺陷,以及通过静态和动态分析挖掘潜在的解密机会。
recovering-from-ransomware-attack
按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。
recovering-deleted-files-with-photorec
使用 PhotoRec 基于文件签名的数据雕刻(File Carving)引擎,从磁盘镜像和存储介质中恢复已删除文件,无论文件系统是否损坏。
performing-ransomware-tabletop-exercise
规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。
performing-ransomware-response
执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。
performing-ransomware-incident-response
执行结构化的勒索软件事件响应,包括遏制、解密评估、从备份恢复以及根除勒索软件持久化机制。
investigating-ransomware-attack-artifacts
识别、收集和分析勒索软件攻击制品,以确定变种、初始访问向量、加密范围和恢复选项。
implementing-honeypot-for-ransomware-detection
部署诱饵文件、蜜罐共享和诱骗系统,在最早阶段检测勒索软件活动。配置嵌入 战略文件位置的金丝雀令牌,在勒索软件尝试加密时触发告警;使用模拟高价值 目标的蜜罐网络共享;部署 Thinkst Canary 设备进行全面的基于欺骗的检测。
implementing-deception-based-detection-with-canarytoken
通过 Thinkst Canary API 部署和监控金丝雀令牌,使用 Web Bug 令牌、DNS 令牌、文档令牌和 AWS 密钥令牌实现基于欺骗的入侵检测。
detecting-ransomware-precursors-in-network
在加密开始前检测网络流量中的勒索软件早期指标,包括初始访问经纪人(IAB)活动、 命令与控制(C2)信标、凭据收集、侦察扫描和暂存行为。使用网络检测工具(Zeek、Suricata、Arkime)、 SIEM 关联规则和威胁情报订阅,识别 Cobalt Strike 信标、Mimikatz 网络特征和 RDP 暴力破解等 勒索软件前驱模式。适合涉及勒索软件前驱检测、基于网络的勒索软件指标或早期预警监控的相关请求。
deploying-tailscale-for-zero-trust-vpn
部署并配置 Tailscale 作为基于 WireGuard 的零信任网状 VPN,具备身份感知访问控制、ACL 和出口节点,实现安全的点对点连接。
deploying-software-defined-perimeter
部署软件定义边界(Software-Defined Perimeter,SDP),围绕各个资源创建动态配置的、以身份为中心的边界,通过"暗云"方法实现零信任访问控制。