Handle Monitor es una herramienta que detecta un número inusual de creaciones de gestores (handles) con el objetivo de identificar procesos de cifrado.
https://github.com/adamkramer/handle_monitor/releases
