RanSim

Teilen

Ist dieser Artikel hilfreich?

Letzte Aktualisierung:

RanSim-Produkthandbuch

Mit Ransomware Simulator (RanSim) können Ransomware-Angriffe simuliert werden, um zu ermitteln, wie Ihre Endpunktschutz-Software im Fall eines tatsächlichen Ransomware-Angriffs reagieren würde. Mit RanSim können Sie herausfinden, ob Ransomware von Ihrer Endpunktschutz-Software blockiert wird oder ob falsch-positive Meldungen ausgegeben werden. Außerdem können Sie mit RanSim ermitteln, wie sich Ransomware auf bestimmte Dateien auswirken würde.

Wenn Sie Videotutorials bevorzugen, können Sie sich auch das Video RanSim ansehen.

Wichtig:Für optimale Ergebnisse muss Ihre Antivirus-Software während der Verwendung von RanSim konfiguriert sein und wie gewöhnlich ausgeführt werden.

Voraussetzungen

Zum Installieren und Starten von RanSim müssen folgende Voraussetzungen erfüllt sein:

  • Auf Ihrem Computer muss Microsoft Windows 10 (64-bit) oder höher ausgeführt werden.
  • Ihr Computer muss über mindestens zwei Prozessorkerne, 2 GB RAM und 100 MB freien Festplattenspeicher verfügen.
  • Ihr Computer muss eine Verbindung mit dem Internet herstellen können.
  • Ihr Computer muss .NET Framework 4.5.2 zum Starten des Tools verwenden.
    Wichtig:Wenn Ihr Computer dieses Framework nicht verwendet, wird es während der Installation von RanSim automatisch installiert.
  • Zum Ausführen des Ransomware-Szenarios RIPlacer muss der überwachte Ordnerzugriff aktiviert werden. Weitere Informationen finden Sie im Abschnitt Aktivieren des überwachten Ordnerzugriffs dieses Artikels.
Wichtig:Für optimale Ergebnisse sollten Sie RanSim auf einem Computer installieren, auf dem die gleichen Programme und die gleiche Sicherheitssoftware installiert ist wie auf den Computern Ihrer Nutzer:innen.

Installieren von RanSim

Wenn Ihr Computer die im Abschnitt Voraussetzungen aufgeführten Voraussetzungen erfüllt, können Sie RanSim installieren.

Gehen Sie wie folgt vor, um RanSim zu installieren:

  1. Navigieren Sie im Browser zu knowbe4.com/ransomware-simulator.
  2. Füllen Sie das Formular I want my RanSim download (Ich möchte meinen RanSim-Download) aus.
  3. Klicken Sie auf Get RanSim! (RanSim erhalten).
  4. Klicken Sie auf den Link Click Here To Download RanSim (Zum Herunterladen von RanSim hier klicken). Beim Klicken auf diesen Link wird die Datei ransim.zip auf Ihren Computer heruntergeladen.
  5. Doppelklicken Sie im Dateimanager auf ransim.zip.
  6. Doppelklicken Sie anschließend auf die Datei SimulatorSetup.exe. Beim Doppelklicken auf diese Datei werden Sie aufgefordert, ein Passwort einzugeben.
  7. Geben Sie „knowbe4“ in das Feld ein, um die Installation von RanSim auf Ihrem Computer zu starten.

Sobald die Installation von RanSim abgeschlossen ist, wird im Fenster KnowBe4 RanSim-Setup die Meldung „Installation Successfully Completed“ (Installation erfolgreich abgeschlossen) angezeigt. Im Abschnitt Starten von RanSim weiter unten erfahren Sie, wie RanSim gestartet wird.

Wichtig: Damit RanSim erfolgreich installiert werden kann, müssen die Dateien SimulatorSetup.exe, Ranstart.exe, MainStarter.exe und Collector.exe ausgeführt werden können. Wenn Ihr Antivirus- oder Antimalware-Produkt diese Dateien blockiert, müssen Sie das Produkt so konfigurieren, dass sie zugelassen werden. Das Verfahren zur Vornahme dieser Einstellungen hängt von dem von Ihnen verwendeten Antivirus- oder Antimalware-Produkt ab. Wenn eine dieser Dateien unter Quarantäne gestellt wurde und Sie keine Aufforderung zur Ausführung der Datei erhalten haben, müssen Sie die Datei aus der Quarantäne wiederherstellen und die oben genannten Schritte wiederholen. Weitere Informationen finden Sie im Abschnitt Antivirus-Software in unserem Artikel Häufig gestellte Fragen (FAQ) zu RanSim.

Aktivieren des überwachten Ordnerzugriffs

Zum Ausführen des Ransomware-Szenarios RIPlacer muss der überwachte Ordnerzugriff von Microsoft auf dem Computer aktiviert sein.

Unter den folgenden Links erfahren Sie, wie Sie den überwachten Ordnerzugriff manuell oder per Gruppenrichtlinie aktivieren.

Manuelles Aktivieren des überwachten Ordnerzugriffs

Gehen Sie wie folgt vor, um den überwachten Ordnerzugriff manuell zu aktivieren:

  1. Klicken Sie auf die Windows-Schaltfläche und geben Sie „Ransomware-Schutz“ in die Suchleiste ein.
  2. Aktivieren Sie die Option Überwachter Ordnerzugriff.
  3. Fügen Sie im Abschnitt Geschützte Ordner die folgenden Ordnerpfade hinzu:
    • c:\KB4\Newsim\DataDir\MainTests\8-Files
    • c:\KB4\Newsim\DataDir\MainTests\12-Files
    • c:\KB4\Newsim\DataDir\MainTests\16-Files
  4. Navigieren Sie zurück zum Bildschirm Ransomware-Schutz und klicken Sie auf den Link App durch überwachten Ordnerzugriff zulassen.
  5. Fügen Sie die folgenden Anwendungen zur Liste hinzu:
    • c:\windows\system32\cmd.exe
    • c:\windows\system32\notepad.exe
    • c:\KB4\Newsim\MainStarter.exe

Aktivieren des überwachten Ordnerzugriffs per Gruppenrichtlinie

Gehen Sie wie folgt vor, um den überwachten Ordnerzugriff per Gruppenrichtlinie zu aktivieren:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
  2. Klicken Sie mit der rechten Maustaste auf das zu konfigurierende Gruppenrichtlinienobjekt und klicken Sie dann auf Bearbeiten.
  3. Navigieren Sie im Gruppenrichtlinien-Editor zu Computerkonfiguration.
  4. Klicken Sie auf Richtlinien und anschließend auf Administrative Vorlagen.
  5. Erweiterten Sie die Verzeichnisstruktur um Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Überwachter Ordnerzugriff.
  6. Doppelklicken Sie auf die Einstellung Überwachten Ordnerzugriff konfigurieren und klicken Sie dann auf Aktiviert.
  7. Legen Sie die Funktion zur Überwachung von Ordnern auf Überwachen fest.
  8. Konfigurieren Sie die geschützten Ordner und zulässigen Anwendungen. Die zugehörigen Informationen finden Sie in den Schritten 3, 4 und 5 im Unterabschnitt Manuelles Aktivieren des überwachten Ordnerzugriffs weiter oben.

Starten von RanSim

Gehen Sie wie folgt vor, um RanSim zu starten:

  1. Klicken Sie im Fenster KnowBe4 RanSim Setup (KnowBe4 RanSim-Setup) auf Launch (Ausführen). Sie können auch auf das Symbol KnowBe4 Ran Simulator auf Ihrem Computer doppelklicken.
  2. Klicken Sie im Fenster Welcome to KnowBe4 Ransim (Willkommen bei KnowBe4 Ransim) auf die Schaltfläche Check now (Jetzt prüfen). Beim Klicken auf diese Schaltfläche werden von RanSim Ransomware-Simulationen auf Ihrem Computer ausgeführt, darunter 23 Ransomware-Szenarien und zwei Szenarien für falsch-positive Meldungen. Weitere Informationen zu den Ransomware-Szenarien und den Szenarien für falsch-positive Meldungen finden Sie in den Abschnitten Ransomware-Szenarien und Szenarien für falsch-positive Meldungen weiter unten.

Der Fortschritt der Szenarien wird im Fenster KnowBe4 Ransim angezeigt.

Sobald von RanSim alle Szenarien ausgeführt wurden, werden die Ergebnisse angezeigt. Sie können die Ergebnisse für die einzelnen Szenarien anzeigen, einschließlich Vulnerable (Angreifbar), Not Vulnerable (Nicht angreifbar) und Incorrectly Blocked (Falsch-positiv). Weitere Informationen zum Anzeigen und Analysieren der Ergebnisse finden Sie im Abschnitt Analysieren der RanSim-Ergebnisse weiter unten.

Tipp:Sie können erneut auf die Schaltfläche Check now (Jetzt prüfen) klicken, um weitere Szenarien auszuführen. Nach dem Ausführen der ersten Szenarien können Sie auch Ihre eigenen Testdateien zum Testdateiordner hinzufügen. Anschließend prüft RanSim anhand von Tests, ob diese Dateien durch Ransomware angreifbar sind.

Sprachoptionen

Die Anzeigesprache von RanSim ist standardmäßig auf English (United States) (Englisch (USA)) festgelegt. Es kann jedoch auch Spanish (Spain) (Spanisch (Spanien)) oder French (France) (Französisch (Frankreich)) ausgewählt werden.

Klicken Sie rechts unten auf den Link mit der derzeit festgelegten Sprache, wenn Sie die Spracheinstellungen ändern möchten. Beim Klicken wird der Auswahldialog Display Language (Anzeigesprache) geöffnet und Sie können eine Sprache aus dem Drop-down-Menü auswählen.

Ransomware-Szenarien

Nach dem Start von RanSim werden 23 Ransomware-Szenarien auf Ihrem Computer ausgeführt. Weitere Informationen zu den einzelnen Szenarien finden Sie in der nachfolgenden Tabelle:

Note:Weitere Informationen zu den beiden Szenarien für falsch-positive Meldungen, die von RanSim auf dem Computer ausgeführt werden, finden Sie im Abschnitt Szenarien für falsch-positive Meldungen weiter unten.

BlackKingdomVariant

Bei diesem Szenario wird Ransomware simuliert, die scheinbar in Python geschrieben ist. Diese Art von Ransomware verwendet Codeelemente, die identisch mit auf Entwicklerforen veröffentlichtem Code sind. Diese Art von Ransomware verwendet auch ungenutzten oder außer Kraft gesetzten Code.

Beispiel: Black Kingdom oder GAmmAWare

Collaborator

Bei diesem Szenario wird Ransomware simuliert, die mehrere Prozesse zum Verschlüsseln von Dateien verwendet. In diesem Szenario werden weitere Prozesse durch ausführbaren Code aufgerufen, um die Testdateien aufzulisten. Die ursprünglichen Dateien werden dann verschlüsselt, verschoben und gelöscht.

Beispiel: Momentan liegen keine Beispiele für dieses Szenario vor. Ihre Endpunktschutz-Software sollte jedoch darauf vorbereitet sein, diese Art von Angriff zu erkennen und abzuwehren.

CritroniVariant

Bei diesem Szenario wird Ransomware simuliert, die Dateien mit einem ungewöhnlichen Angriffsmuster verschlüsselt.

Beispiel: Critoni oder CBT

DearCryVariant

Bei diesem Szenario wird Ransomware simuliert, die Dateien kopiert, um die ursprünglichen Dateien dann zu löschen. Bei der in diesem Szenario verwendeten Verschlüsselungsmethode muss der Command-and-Control-Server der Angreifer:innen nicht kontaktiert werden, um Dateien zu verschlüsseln.

Beispiel: DearCry

DjVuVariant

Bei diesem Szenario wird die von der DjVu-Ransomware verwendete Methode simuliert. DjVu kommt in der Regel bei Angriffen auf große Organisationen zum Einsatz und verschlüsselt Kopien der Zieldateien. Die Originaldateien werden gelöscht.

Beispiel: DjVu

HollowInjector

Bei diesem Szenario wird Ransomware simuliert, die mittels Prozessaushöhlung schädlichen Code in einen legitimen Prozess injiziert.

Beispiel: Jaff oder GrandCrab

Injector

Bei diesem Szenario wird Ransomware simuliert, die Dateien durch Injizieren von schädlichem Code in einen legitimen Prozess verschlüsselt. Bei dieser Art von Ransomware wird Code mithilfe einer gängigen Methode wie der DLL-Injection (Dynamic Link Library) injiziert.

Beispiel: GandCrab

InsideCryptor

Bei diesem Szenario wird Ransomware simuliert, die Dateien verschlüsselt und den ursprünglichen Dateien verschlüsselte Daten hinzufügt.

Beispiel: PClock

LockyVariant

Bei diesem Szenario wird eine Variante der Locky-Ransomware simuliert. In diesem Szenario wird nur die Methode simuliert, mit der Locky Dateien infiziert, und nicht der Verschlüsselungsalgorithmus.

Beispiel: Locky

MazeVariant

Bei diesem Szenario wird die von der Maze-Ransomware verwendete Methode simuliert.

Beispiel: Maze

Mover

Bei diesem Szenario wird Ransomware simuliert, die Dateien verschlüsselt und diese in einen Unterordner des ursprünglichen Ordners verschiebt.

Beispiel: Alpha

PaymerVariant

Bei diesem Szenario werden Methoden simuliert, die von Ransomware wie DoppelPaymer verwendet werden.

Beispiel: DoppelPaymer

PhobosVariant

Bei diesem Szenario wird die von der Phobos-Ransomware verwendete Methode simuliert. Phobos kommt in der Regel bei Angriffen auf kleine Organisationen zum Einsatz und verschlüsselt Kopien der Zieldateien. Die Originaldateien werden gelöscht.

Beispiel: Phobos

ReflectiveInjector

Bei diesem Szenario wird Ransomware simuliert, die mit einer fortgeschrittenen Methode Verschlüsselungscode in einen legitimen Prozess injiziert.

Beispiel: Chimera oder Rokku

Replacer

In diesem Szenario wird ein Ransomware-Angriff simuliert, bei dem die Inhalte von Dateien mit bestimmten Erweiterungen wie DOCX oder PDF überschrieben werden. Diese werden mit Inhalten überschrieben, die das gleiche Format wie die ursprünglichen Dateien aufweisen. Sobald die Inhalte überschrieben wurden, wird der:die Nutzer:in zur Zahlung eines Lösegelds aufgefordert, um die Inhalte der ursprünglichen Dateien wiederherzustellen.

Beispiel: DirCrypt

RigSimulator

Bei diesem Szenario wird Cryptomining simuliert. Dabei wird die CPU des Computers zum Mining von Kryptowährungen genutzt.

Beispiel: XMRig

RIPlacer

Bei diesem Szenario wird getestet, ob Computer angreifbar sind, die durch den überwachten Ordnerzugriff von Microsoft geschützt sind.

Beispiel: Momentan liegen keine Beispiele für dieses Szenario vor. Ihre Endpunktschutz-Software sollte jedoch darauf vorbereitet sein, diese Art von Angriff zu erkennen und abzuwehren.

SlowCryptor

Bei diesem Szenario wird Ransomware simuliert, die Dateien langsam verschlüsselt, um nicht erkannt zu werden.

Beispiel: FCrypt-Variante

Streamer

Bei diesem Szenario wird Ransomware simuliert, die mehrere Dateien verschlüsselt und diese in eine einzige Datei verschiebt.

Beispiel: Bart

StrongCryptor

Bei diesem Szenario wird ein Angriff simuliert, der von den meisten Ransomware-Arten durchgeführt wird. Für jede Testdatei erstellt RanSim eine neue Datei, die den verschlüsselten Inhalt der Testdatei enthält. Anschließend wird der Inhalt der ursprünglichen Testdatei von RanSim überschrieben und die Datei wird gelöscht.

Die Verschlüsselung wird mit AES durchgeführt.

Beispiel: CryptoLocker-Variante ohne Netzkommunikation

StrongCryptorFast

Bei diesem Szenario wird ein Angriff simuliert, der von vielen Ransomware-Arten durchgeführt wird. Für jede Testdatei erstellt RanSim eine neue Datei, die den verschlüsselten Inhalt der ursprünglichen Testdatei enthält. Anschließend werden alle ursprünglichen Testdateien von RanSim gelöscht, sodass nur die verschlüsselten Versionen der Testdateien übrig bleiben.

Die Verschlüsselung wird mit AES durchgeführt.

Beispiel: CryptoLocker

StrongCryptorNet

Bei diesem Szenario wird ein Angriff simuliert, der von vielen Ransomware-Arten durchgeführt wird. Für jede Testdatei erstellt RanSim eine neue Datei, die den verschlüsselten Inhalt der ursprünglichen Testdatei enthält. Anschließend wird die ursprüngliche Testdatei von RanSim gelöscht.

Die Verschlüsselung wird mit AES durchgeführt. Bei diesem Szenario versucht RanSim außerdem, eine HTTP-Verbindung zur IP-Adresse 127.0.0.1 auf Port 23054 herzustellen, um den Verschlüsselungsschlüssel zu senden.

Beispiel: CryptoLocker-Variante mit Kommunikation zum Command-and-Control-Server

ThorVariant

Bei diesem Szenario wird eine Variante der Thor-Ransomware simuliert. In diesem Szenario wird nur die Methode simuliert, mit der Thor Dateien infiziert, und nicht der Verschlüsselungsalgorithmus.

Beispiel: Thor

VirlockVariant

Bei diesem Szenario wird komplexe Ransomware simuliert. Dieses Szenario basiert auf einem „Watchdog“-Prozess, der zuerst auf den Start eines anderen Szenarios wartet. Wenn das andere Szenario blockiert wird, erstellt und startet dieses Szenario das andere Szenario erneut.

Beispiel: Virlock

WeakCryptor

Bei diesem Szenario wird ein Angriff mit einer schwachen Verschlüsselung simuliert. Für jede Testdatei erstellt RanSim eine neue Datei, die den verschlüsselten Inhalt der ursprünglichen Testdatei enthält. Anschließend wird die ursprüngliche Testdatei von RanSim gelöscht.

In diesem Szenario wird die Verschlüsselung simuliert, indem der Inhalt der ursprünglichen Datei mit GZip komprimiert wird. Anschließend wird das erste Byte des Ergebnisses, 0x1F, durch 0x00 ersetzt.

Beispiel: TeleCrypt

Szenarien für falsch-positive Meldungen

Neben den 23 Ransomware-Szenarien werden von RanSim auch zwei Szenarien für falsch-positive Meldungen auf dem Computer ausgeführt. Bei falsch-positiven Meldungen handelt es sich um Dateien oder Programme, die von der Endpunktschutz-Software fälschlicherweise als schädlich gekennzeichnet und blockiert werden.

Die beiden Szenarien für falsch-positive Meldungen von RanSim heißen Archiver und Remover. Wenn eines dieser Szenarien von Ihrer Endpunktschutz-Software blockiert wird, erhöhen sich die falsch-positiven Ergebnisse in RanSim. Weitere Informationen zum Anzeigen der Ergebnisse finden Sie im Abschnitt Analysieren der RanSim-Ergebnisse weiter unten.

Wenn die Szenarien für falsch-positive Meldungen blockiert werden, stellen die RanSim-Ergebnisse möglicherweise kein präzises Maß für die Effektivität Ihrer Endpunktschutz-Software dar.

Wichtig:KnowBe4 kann leider nicht verhindern, dass die Szenarien für falsch-positive Meldungen von Ihrer Endpunktschutz-Software blockiert werden.

Analysieren der RanSim-Ergebnisse

Sobald die Ausführung aller Szenarien für Ransomware und falsch-positive Meldungen von RanSim abgeschlossen wurde, können Sie die Ergebnisse im Fenster KnowBe4 RanSim anzeigen.

In den Feldern Vulnerable (Angreifbar), Not Vulnerable (Nicht angreifbar) und Incorrectly Blocked (Falsch-positiv) in der oberen linken Ecke des Fensters wird die Anzahl der Szenarien für jeden Status angezeigt. Idealerweise werden 0/23 angreifbare, 23/23 nicht angreifbare und 0/2 falsch-positive Szenarien angezeigt.

Im Fenster KnowBe4 RanSim können Sie auch ein Kreisdiagramm und eine Tabelle mit weiteren Informationen zu den Ergebnissen anzeigen. Das Kreisdiagramm bietet Informationen zur Art der angreifbaren Dateien, wie z. B. Dokumente oder Bilder. In der Tabelle werden Informationen zu jedem Szenario angezeigt, darunter Name und Status des Szenarios, eine Beschreibung des Szenarios sowie der Dateipfad für die verschlüsselten Testdateien. Sie können auch auf den Link Als CSV exportieren in der rechten oberen Ecke des Abschnitts Szenarien klicken, um eine CSV-Datei herunterzuladen. Die CSV-Datei enthält Informationen zu den RanSim-Ergebnissen.

War dieser Artikel hilfreich?

6 von 9 fanden dies hilfreich

Sie finden nicht, wonach Sie suchen?

Support kontaktieren