RanSim

Teilen

Ist dieser Artikel hilfreich?

Letzte Aktualisierung:

FAQ: RanSim

In diesem Artikel werden die häufig gestellten Fragen (FAQ) zum RanSim-Tool beantwortet.

Allgemeine Informationen zu RanSim finden Sie im RanSim-Produkthandbuch.

Allgemeine Informationen

  1. Simuliert RanSim das Verhalten von tatsächlichen Ransomware-Angriffen? Welche Beispiele für reale Ransomware mit ähnlichem Verhalten gibt es?

    Ja, RanSim simuliert das tatsächliche Verhalten von Ransomware mit kleinen Abweichungen. Beispielsweise unterscheiden sich die in RanSim verwendeten Verschlüsselungsschlüssel und -algorithmen von denen in tatsächlicher Ransomware.

    Weitere Informationen zu den Ransomware-Szenarien und den Szenarien für falsch-positive Meldungen von RanSim finden Sie im RanSim-Produkthandbuch.

  2. Erfasst RanSim Informationen über meinen Computer?

    Die einzige Information, die RanSim erfasst, ist die Anzahl der Dateien auf den lokalen Festplatten mit Erweiterungen, die durch tatsächliche Ransomware angreifbar sein können.

  3. Was bedeutet die Bezeichnung Executed (Ausgeführt) im Ergebnisfenster von KnowBe4 RanSim? Inwiefern unterscheidet sich diese von den Bezeichnungen Vulnerable (Angreifbar) oder Not Vulnerable (Nicht angreifbar)?

    Die Bezeichnung Executed (Ausgeführt) gibt Szenarien für falsch-positive Meldungen an, die nicht von Ihrer Endpunktschutz-Software blockiert wurden. Wenn die Endpunktschutz-Software ordnungsgemäß funktioniert, wird die Bezeichnung Executed (Ausgeführt) neben den beiden Szenarien für falsch-positive Meldungen angezeigt.

    Die Bezeichnungen Vulnerable (Angreifbar) und Not Vulnerable (Nicht angreifbar) zeigen die Ergebnisse der Ransomware-Szenarien an, nicht die der Szenarien für falsch-positive Meldungen. Die Bezeichnung Vulnerable (Angreifbar) wird neben jedem Ransomware-Szenario angezeigt, das den RanSim-Test nicht bestanden hat und somit durch tatsächliche Ransomware angreifbar sein könnte. Die Bezeichnung Not Vulnerable (Nicht angreifbar) wird neben jedem Ransomware-Szenario angezeigt, das den RanSim-Test bestanden hat und somit vor tatsächlicher Ransomware geschützt sein sollte.

  4. Kann ich RanSim zum Testen meiner eigenen Dateien verwenden? Kann ich beispielsweise meine eigenen Dokumente oder Fotos testen?

    Ja, nach der ersten RanSim-Prüfung können Sie Ihre eigenen Dateien testen.

    Gehen Sie wie folgt vor, um Ihre eigenen Dateien zu testen:

    1. Klicken Sie in der oberen rechten Ecke des Fensters KnowBe4 RanSim im Abschnitt Klicken Sie wahlweise hier, um Ihre eigenen Testdateien in den Testdateiordner zu kopieren. 
    2. Wählen Sie bei der entsprechenden Aufforderung die Dateien aus, die in den Ordner %systemdrive%\KB4\Newsim|DataDir\TestFiles kopiert werden sollen.
    Hinweis: Sie können bis zu 50 Dateien hinzufügen. Jede Datei darf höchstens 10 MB groß sein.
    Wichtig: Achten Sie darauf, Kopien dieser Dateien zu erstellen, anstatt sie zu verschieben. Wenn Sie RanSim irgendwann deinstallieren, werden alle Dateien im Ordner %systemdrive%\KB4\Newsim|DataDir\TestFiles gelöscht.

    Nachdem Sie die Dateien kopiert und zum Testordner hinzugefügt haben, können Sie zusätzliche RanSim-Prüfungen für diese Dateien ausführen.

  5. Werden bei der Verwendung von RanSim Netzwerkverbindungen erstellt? Falls ja, wofür werden diese Netzwerkverbindungen verwendet?

    In einem Ransomware-Szenario von RanSim wird versucht, eine HTTP-Verbindung zu 127.0.0.1, Port 23054 herzustellen, um eine Nachricht mit dem Verschlüsselungsschlüssel zu senden.

Antivirus-Software

  1. Die Datei SimulatorSetup.exe, MainStarter.exe oder Collector.exe oder SimulatorSetup.exe wurde von meiner Antivirus-Software als schädlich eingestuft. Wie soll ich vorgehen?

    Diese Dateien enthalten keinen gefährlichen Code und ihre Ausführung sollte zugelassen werden. Hierbei handelt es sich um falsch-positive Meldungen. Diese werden jedoch nicht in den falsch-positiven Ergebnissen angezeigt. Weitere Informationen zu diesen Dateien finden Sie in der nachstehenden Liste:

    • SimulatorSetup.exe: Diese Datei installiert RanSim.
    • Ranstart.exe: Bei dieser Datei handelt es sich um die RanSim-Schnittstelle.
    • MainStarter.exe: Diese Datei bereitet die Testumgebung vor und startet die RanSim-Szenarios.
    • Collector.exe: In dieser Datei werden die Ergebnisse der einzelnen Simulationen gesammelt.

    Wenn die Dateien als schädlich eingestuft werden, gibt manche Antivirus-Software eine Warnung aus. Wenn Sie eine Warnung erhalten, können Sie die Datei ausführen, in Quarantäne verschieben oder blockieren. Bei anderer Antivirus-Software wird die Datei möglicherweise automatisch blockiert oder in Quarantäne verschoben. Weitere Informationen sind nachfolgend aufgeführt:

    • Wenn die Datei MainStarter.exe oder Collector.exe vor der ersten RanSim-Prüfung in Quarantäne verschoben wird, versucht RanSim zu Beginn der Prüfung, diese neu zu erstellen. Wenn die Dateien erneut in Quarantäne verschoben werden, werden Sie benachrichtigt, dass mindestens eine der Dateien fehlt und dass Sie deren Ausführung auf dem Computer zulassen sollten.
    • Wenn die Datei MainStarter.exe oder Collector.exe während einer RanSim-Prüfung in Quarantäne verschoben wird, führt dies zum Abbruch. RanSim versucht, die Dateien neu zu erstellen, und Sie werden zu einer erneuten Prüfung aufgefordert. Wenn die Dateien wieder blockiert werden, versucht RanSim nicht mehr, die Dateien neu zu erstellen. Stattdessen werden Sie aufgefordert sicherzustellen, dass die Ausführung der Dateien zugelassen wird, und die RanSim-Prüfung anschließend erneut zu starten.
  2. Die Dateien MainStarter.exe und SimulatorSetup.exe wurden von meiner Antivirus-Software nicht als schädlich eingestuft. Während einer RanSim-Prüfung wurden jedoch eine oder mehrere Testdateien von der Antivirus-Software als schädlich eingestuft. Wie soll ich vorgehen?

    Dieses Verhalten ist beabsichtigt. Wenn Testdateien von einer Antivirus-Software als gefährlich oder schädlich eingestuft werden, spricht das für die ordnungsgemäße Funktionsweise der Software. Wenn die Testdateien während einer RanSim-Prüfung von Ihrer Antivirus-Software blockiert oder in Quarantäne verschoben werden, ist die Software auch bei einem tatsächlichen Angriff in der Lage, Ransomware zu blockieren oder in Quarantäne zu verschieben.

  3. Was geschieht, wenn die RanSim-Installationsdatei von meiner Antivirus-Software als schädlich eingestuft wird?

    Die RanSim-Installationsdatei wurde von der meisten von KnowBe4 getesteten Antivirus-Software nicht als schädlich eingestuft. Wenn die Datei trotzdem als schädlich eingestuft wird, sollten Sie diese zur Whitelist Ihrer Antivirus-Software hinzufügen. Anschließend können Sie die Installation von RanSim erneut starten.

  4. Die Datei ransim.zip wurde von Windows-Sicherheit als schädlich eingestuft und kann daher nicht geöffnet werden. Wie soll ich vorgehen?

Sie können in den Einstellungen von Windows-Sicherheit einen Ausschluss hinzufügen, um diese Datei zu öffnen. Weitere Informationen finden Sie im Microsoft-Artikel Hinzufügen eines Ausschlusses zu Windows-Sicherheit.

RanSim-Dateien

  1. Wo werden die RanSim-Dateien bei der Installation gespeichert?

    Alle Dateien werden im Installationsordner c:\KB4\Newsim oder %systemdrive%\KB4\Newsim gespeichert.

    Wenn Sie RanSim deinstallieren, wird der Installationsordner vom Computer gelöscht.

  2. Welche Unterordner befinden sich im Installationsordner \KB4\Newsim?

    Die folgende Tabelle enthält Details zu den Unterordnern des Installationsordners \KB4\Newsim.

    Name des Unterordners Beschreibung des Unterordners
    \Newsim\DataDir Dieser Unterordner enthält die von RanSim erstellte simulierte Umgebung.
    \Newsim\DataDir\TestFiles Dieser Unterordner enthält die Testdateien für die RanSim-Simulationen.
    \Newsim\DataDir\MainTests\xx

    Jedes RanSim-Szenario verfügt über einen Unterordner mit den zugehörigen Testdateien. Den Unterordnern für jedes Szenario ist eine Zahl zugeordnet.

    Weitere Informationen zu RanSim-Szenarien finden Sie im RanSim-Produkthandbuch.
    \Rassim\DataDir\Tests\xx-Tests

    Jedes RanSim-Szenario verfügt über einen Unterordner mit Kopien der zugehörigen Testdateien in \Newsim\DataDir\MainTests\xx.

    Weitere Informationen zu RanSim-Szenarien finden Sie im RanSim-Produkthandbuch.
  3. Welche Dateiendung wird für die RanSim-Szenarien verwendet?

    Für RanSim-Szenarien wird die Dateiendung CXP verwendet.

  4. Welche Registrierungsschlüssel werden erstellt und wo in der Registrierung befinden sie sich? Werden dieses Registrierungsschlüssel entfernt, wenn ich RanSim deinstalliere?

    Neben den von msinstaller verwalteten Einträgen wird von RanSim der Registrierungsschlüssel HKEY_CURRENT_USER\SOFTWARE\KnowBe4 Ran Simulator erstellt. Dieser Registrierungsschlüssel wird mit der Deinstallation von RanSim entfernt.

  5. Werden bei der Verwendung von RanSim Protokolldateien erstellt? Falls ja, werden dem Windows-Ereignisprotokoll Einträge hinzugefügt?

    Im RanSim-Protokollverzeichnis befinden sich mehrere CSV-Dateien mit internen Informationen. Von RanSim werden jedoch keine Einträge zum Windows-Ereignisprotokoll hinzugefügt.

War dieser Artikel hilfreich?

3 von 7 fanden dies hilfreich

Sie finden nicht, wonach Sie suchen?

Support kontaktieren