deploying-ransomware-canary-files

使用 Python watchdog 库在关键目录中部署并监控勒索软件诱饵文件(Canary File),实现实时文件系统事件检测。 将策略性命名的诱饵文件(模拟高价值目标,如财务记录、凭据、数据库导出)放置在勒索软件通常优先枚举的 目录中,监控对诱饵文件的任何读取、修改、重命名或删除操作,并在检测到交互时通过 Email、Slack Webhook 或 Syslog 触发即时告警,在完整加密开始前提供早期预警。

9 stars

Best use case

deploying-ransomware-canary-files is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 Python watchdog 库在关键目录中部署并监控勒索软件诱饵文件(Canary File),实现实时文件系统事件检测。 将策略性命名的诱饵文件(模拟高价值目标,如财务记录、凭据、数据库导出)放置在勒索软件通常优先枚举的 目录中,监控对诱饵文件的任何读取、修改、重命名或删除操作,并在检测到交互时通过 Email、Slack Webhook 或 Syslog 触发即时告警,在完整加密开始前提供早期预警。

Teams using deploying-ransomware-canary-files should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/deploying-ransomware-canary-files/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/deploying-ransomware-canary-files/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/deploying-ransomware-canary-files/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How deploying-ransomware-canary-files Compares

Feature / Agentdeploying-ransomware-canary-filesStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 Python watchdog 库在关键目录中部署并监控勒索软件诱饵文件(Canary File),实现实时文件系统事件检测。 将策略性命名的诱饵文件(模拟高价值目标,如财务记录、凭据、数据库导出)放置在勒索软件通常优先枚举的 目录中,监控对诱饵文件的任何读取、修改、重命名或删除操作,并在检测到交互时通过 Email、Slack Webhook 或 Syslog 触发即时告警,在完整加密开始前提供早期预警。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 部署勒索软件诱饵文件

## 适用场景

- 在文件服务器、NAS 设备或终端系统上部署主动勒索软件检测
- 构建早期预警系统,在勒索软件加密关键业务数据前完成检测
- 在无法部署 EDR Agent 的系统上,使用轻量级诱饵文件监控补充 EDR 解决方案
- 通过模拟诱饵文件触发来测试勒索软件应急响应流程
- 监控共享驱动器、Home 目录和备份卷中的未授权文件操作

**不适用场景**:不可替代终端保护、备份策略或网络分段。诱饵文件仅为检测层,并非预防机制。

## 前置条件

- Python 3.8+ 及 pip
- watchdog 库(`pip install watchdog`)
- 对诱饵文件部署目录的写入权限
- 用于告警的 SMTP 服务器凭据或 Slack Webhook URL
- 在系统目录中放置诱饵文件所需的管理员权限

## 工作流程

### 步骤 1:生成诱饵文件

创建具有真实文件名和内容的诱饵文件,以吸引勒索软件扫描器。文件名应使用 `Passwords.xlsx`、`Financial_Report_2026.docx`、`backup_credentials.csv` 等格式,内容为看似合理的虚假数据。将文件放置在勒索软件通常优先攻击的目录中:用户桌面、Documents 文件夹、网络共享根目录和备份路径。

### 步骤 2:部署文件系统监控

使用 Python watchdog 库结合自定义 `FileSystemEventHandler`,监控诱饵文件路径。Handler 针对诱饵文件触发 `on_modified`、`on_deleted`、`on_moved` 和 `on_created` 事件。任何合法用户或进程都不应接触这些文件,因此任何交互都是勒索软件或未授权访问的高可信度指示器。

### 步骤 3:配置告警管道

将文件系统监控器连接到多个告警渠道:通过 SMTP 发送邮件、发送 Slack Webhook POST、转发 Syslog 到 SIEM,以及写入本地日志文件。告警有效载荷中应包含触发事件类型、文件路径、时间戳和进程信息(如可获取)。

### 步骤 4:验证与测试

通过程序化方式修改、重命名和删除诱饵文件,模拟勒索软件行为,验证检测管道是否正常触发。测量告警响应时间,并验证所有配置渠道的告警投递情况。

## 核心概念

| 术语 | 定义 |
|------|------|
| **诱饵文件(Canary File)** | 放置在受监控目录中的诱骗文件,当被访问、修改或删除时触发告警 |
| **Watchdog** | Python 文件系统监控库,使用操作系统原生 API(Linux 的 inotify、macOS 的 FSEvents、Windows 的 ReadDirectoryChangesW) |
| **蜜罐文件(Honey File)** | 诱饵文件的别名;用于吸引和检测恶意活动的虚假文档 |
| **熵值检测(Entropy Check)** | 通过测量文件内容的随机性来检测加密行为(勒索软件加密后产生高熵值输出) |

## 工具与系统

- **watchdog**:Python 文件系统监控库,使用操作系统原生事件 API
- **smtplib**:Python 标准库,用于 SMTP 邮件告警
- **requests**:HTTP 库,用于 Slack Webhook 集成
- **hashlib**:SHA-256 哈希,用于诱饵文件完整性验证
- **psutil**:检测诱饵文件访问时的进程信息采集

## 输出格式

```
RANSOMWARE CANARY ALERT
========================
Timestamp: 2026-03-11T14:23:07Z
Event: FILE_MODIFIED
Canary File: /srv/shares/finance/Passwords.xlsx
Directory: /srv/shares/finance
SHA-256 Before: a3f2...8b4c
SHA-256 After: 7e91...2d3f
Alert Channels: [email, slack, syslog]
Action: Investigate immediately - potential ransomware activity
```

Related Skills

reverse-engineering-ransomware-encryption-routine

9
from killvxk/cybersecurity-skills-zh

对勒索软件加密例程进行逆向工程,以识别密码学算法、密钥生成缺陷,以及通过静态和动态分析挖掘潜在的解密机会。

recovering-from-ransomware-attack

9
from killvxk/cybersecurity-skills-zh

按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。

recovering-deleted-files-with-photorec

9
from killvxk/cybersecurity-skills-zh

使用 PhotoRec 基于文件签名的数据雕刻(File Carving)引擎,从磁盘镜像和存储介质中恢复已删除文件,无论文件系统是否损坏。

performing-ransomware-tabletop-exercise

9
from killvxk/cybersecurity-skills-zh

规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。

performing-ransomware-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。

performing-ransomware-incident-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,包括遏制、解密评估、从备份恢复以及根除勒索软件持久化机制。

investigating-ransomware-attack-artifacts

9
from killvxk/cybersecurity-skills-zh

识别、收集和分析勒索软件攻击制品,以确定变种、初始访问向量、加密范围和恢复选项。

implementing-honeypot-for-ransomware-detection

9
from killvxk/cybersecurity-skills-zh

部署诱饵文件、蜜罐共享和诱骗系统,在最早阶段检测勒索软件活动。配置嵌入 战略文件位置的金丝雀令牌,在勒索软件尝试加密时触发告警;使用模拟高价值 目标的蜜罐网络共享;部署 Thinkst Canary 设备进行全面的基于欺骗的检测。

implementing-deception-based-detection-with-canarytoken

9
from killvxk/cybersecurity-skills-zh

通过 Thinkst Canary API 部署和监控金丝雀令牌,使用 Web Bug 令牌、DNS 令牌、文档令牌和 AWS 密钥令牌实现基于欺骗的入侵检测。

detecting-ransomware-precursors-in-network

9
from killvxk/cybersecurity-skills-zh

在加密开始前检测网络流量中的勒索软件早期指标,包括初始访问经纪人(IAB)活动、 命令与控制(C2)信标、凭据收集、侦察扫描和暂存行为。使用网络检测工具(Zeek、Suricata、Arkime)、 SIEM 关联规则和威胁情报订阅,识别 Cobalt Strike 信标、Mimikatz 网络特征和 RDP 暴力破解等 勒索软件前驱模式。适合涉及勒索软件前驱检测、基于网络的勒索软件指标或早期预警监控的相关请求。

deploying-tailscale-for-zero-trust-vpn

9
from killvxk/cybersecurity-skills-zh

部署并配置 Tailscale 作为基于 WireGuard 的零信任网状 VPN,具备身份感知访问控制、ACL 和出口节点,实现安全的点对点连接。

deploying-software-defined-perimeter

9
from killvxk/cybersecurity-skills-zh

部署软件定义边界(Software-Defined Perimeter,SDP),围绕各个资源创建动态配置的、以身份为中心的边界,通过"暗云"方法实现零信任访问控制。