budakhuseyin/ransomCatch

# RansomCatch RansomCatch 是一款针对 Windows 的高度优化、无特征码、实时反勒索软件防护引擎。它利用战略性的诱饵（蜜罐）系统，结合超快速的行为 I/O 启发式算法，在真实用户数据被侵害前检测并立即终止加密攻击。 ## 工作原理 RansomCatch 依赖双层零日威胁检测机制： 1. 诱饵陷阱区（蜜罐）： 系统会在关键用户目录中部署具有特殊命名的虚拟文件（例如：“!2025_revenue_v44.log”）。由于这些文件名以特殊 ASCII 字符（!、#、$）开头，它们会占据 NTFS 目录的最早条目。当勒索软件进程使用标准系统调用遍历目录时，会首先命中这些陷阱。 2. 行为与熵分析： 当诱饵陷阱被修改（Tripwire）时，RansomCatch 会在毫秒级内挂起所有新创建的系统进程。通过优先绕过缓慢的系统进程名称查询，确保在处理更多文件前冻结攻击者。被目标文件会经过香农熵测试，以数学方式判断是正常修改（低熵）还是恶意加密（高熵 ≥ 7.2）。如果确认恶意活动，RansomCatch 会通过短暂的 I/O 写入增量分析被挂起的进程，并精确终止勒索软件。 ## 核心功能 - 无特征码检测：不依赖病毒数据库，基于行为即可捕获全新的零日或本地构造的勒索软件。 - NTFS 优化诱饵：陷阱采用预排序生成策略，迫使勒索软件在目录遍历的最开始阶段就处理这些文件。 - 极速执行：恶意进程在个位数毫秒内被挂起，将数据丢失降至最低（个位数）。 - 异常 I/O 触发：在达到特定阈值（例如：3 秒内修改 15 个文件）时预挂起进程，实现早期预测。 - 自动白名单：动态验证系统架构逻辑，释放低熵或已知可信系统进程免于挂起。 - 仪表盘与系统托盘控制：提供完整的图形界面，可原生管理诱饵配置，并在 Windows 系统托盘中静默运行。 ## 安装 1. 克隆仓库。 2. 打开终端并安装依赖： ``` pip install -r requirements.txt ``` 3. 运行应用程序： ``` python main.py ``` ## 使用说明 - 启动主应用程序以查看实时仪表盘。 - 导航至“诱饵区域”标签页，在重要文件夹（如文档、桌面）内部署不可见的陷阱文件。 - 切换主引擎状态至“活跃”。 - 引擎将在后台通过托盘图标持续静默运行，即时阻止未来的加密尝试。

标签：I/O监控, NTFS, ProjectDiscovery, SEO反勒索软件, Shannon熵, Tripwire, Windows防护, 勒索软件防御, 反勒索软件, 安全引擎, 实时防护, 异常检测, 数据保护, 文件加密防护, 无病毒库防护, 无签名检测, 熵分析, 端点可见性, 蜜罐, 证书利用, 诱饵文件, 进程挂起, 逆向工具, 零日检测