RanSim

Compartir

¿Este artículo es útil?

Última actualización:

Manual del producto RanSim

Simulador de Ransomware (RanSim) es una herramienta que simula los ataques de ransomware para observar cómo respondería su software de protección de terminales en caso de un ataque de ransomware real. Puede utilizar RanSim para ver si el software de protección de terminales bloquearía el ransomware o si crearía falsos positivos. También puede utilizar RanSim para ver cómo el ransomware impacta en archivos específicos.

Si prefiere ver los tutoriales en video, puede ver nuestro video de RanSim.

Importante: Para obtener resultados precisos, el software antivirus debe estar configurado y operando con normalidad cuando utilice RanSim.

Requisitos previos

Para instalar e iniciar RanSim, debe cumplir los requisitos enumerados a continuación:

  • Su computadora debe usar Microsoft Windows 10 de 64 bits o versiones posteriores.
  • Su computadora debe tener al menos 2 núcleos de procesador, 2 GB de RAM y 100 MB de espacio libre en el HDD.
  • Su computadora debe tener conexión a internet.
  • Su computadora debe utilizar .NET Framework 4.5.2 para iniciar la herramienta.
    Importante: Sin embargo, si su computadora no utiliza este marco, entonces se instalará automáticamente cuando instale RanSim.
  • Para ejecutar el caso de ransomware RIPlacer, debe habilitar el acceso controlado a carpetas. Para obtener más información, consulte la sección Habilitar acceso controlado a carpetas de este artículo.
Importante: Para obtener resultados precisos, le recomendamos que instale RanSim en una computadora que utilice los mismos programas y software de seguridad que las computadoras de sus usuarios.

Instalar RanSim

Una vez que haya verificado que su computadora cumple con los prerrequisitos en la sección Requisitos previos más arriba, entonces tendrá todo listo para instalar RanSim.

Para instalar RanSim, siga estos pasos:

  1. Navegue a knowbe4.com/ransomware-simulator en su explorador.
  2. Complete los campos en el formulario de descarga Quiero mi RanSim.
  3. Haga clic en Get RanSim! (Obtener RanSim)
  4. Haga clic en el enlace Hacer clic aquí para descargar RanSim. Al hacer clic en este enlace, el archivo ransim.zip se descarga en su computadora.
  5. Haga doble clic en el archivo ransim.zip en el explorador de archivos.
  6. Luego, haga doble clic en el archivo SimulatorSetup.exe. Al hacer doble clic en el archivo, se le solicita ingresar una contraseña.
  7. Ingrese “knowbe4” en el campo para comenzar a instalar RanSim en su computadora.

Una vez que RanSim se haya instalado, aparecerá un mensaje que dice “La instalación se completó correctamente” en la ventana de Configuración de RanSim en KnowBe4. Para aprender cómo iniciar RanSim, consulte la sección Iniciar RanSim a continuación.

Importante: Para que RanSim se instale correctamente, deben poder ejecutarse los archivos SimularorSetup.exe, Ranstart.exe, MainRunner.exe y Collector.exe. Si su producto antivirus o antimalware está bloqueando estos archivos, deberá configurar el producto para permitirlos. Este proceso variará según el producto antivirus o antimalware que esté usando. Si alguno de estos archivos está en cuarentena y no vio un mensaje de advertencia para permitir que el archivo se ejecute, deberá restaurar el archivo desde la cuarentena y repetir los pasos anteriores. Para obtener más información, consulte la sección Software antivirus, de nuestro artículo Preguntas frecuentes de RanSim.

Habilitar acceso controlado a carpetas

Para ejecutar el caso de ransomware RIPlacer, el acceso controlado a carpetas de Microsoft debe estar habilitado en su computadora.

Para aprender cómo habilitar el acceso controlado a carpetas de forma manual o mediante Políticas de grupo, haga clic en los enlaces a continuación:

Habilitar el acceso controlado a carpetas

Para habilitar el acceso controlado a carpetas de forma manual, siga estos pasos:

  1. Haga clic en el botón de Windows e ingrese “Protección de ransomware” en la barra de búsqueda.
  2. Active la opción de Acceso controlado a carpetas.
  3. Agregue las siguientes rutas a carpetas a la sección de Carpetas protegidas:
    • c:\KB4\Newsim\DataDir\MainTests\8-Files
    • c:\KB4\Newsim\DataDir\MainTests\12-Files
    • c:\KB4\Newsim\DataDir\MainTests\16-Files
  4. Vuelva a la pantalla de Protección de ransomware y haga clic en el enlace Permitir una aplicación mediante el Acceso controlado a carpetas.
  5. Agregue las siguientes aplicaciones a la lista de permitidos:
    • c:\windows\system32\cmd.exe
    • c:\windows\system32\notepad.exe
    • c:\KB4\Newsim\MainStarter.exe

Habilitar el acceso controlado a carpetas mediante Políticas de grupo

Para habilitar el acceso controlado a carpetas mediante Políticas de grupo, siga estos pasos:

  1. Abra su Consola de administración de Políticas de grupo.
  2. Haga clic derecho en el Objeto de Políticas de grupo que desea configurar y haga clic en Editar.
  3. En el Editor de administración de Políticas de grupo, diríjase a Configuración de la computadora.
  4. Haga clic en Políticas y luego en Plantillas administrativas.
  5. Expanda el árbol de directorio a Componentes de Windows > Antivirus Microsoft Defender > Microsoft Defender Exploit Guard > Acceso controlado de carpetas.
  6. Haga doble clic en la configuración Configurar acceso controlado a carpetas y luego haga clic en Habilitado.
  7. Configure la Función Proteger mis carpetas en la opción Monitorear.
  8. Configure las carpetas protegidas y las aplicaciones permitidas. Puede encontrar esta información en los pasos 3, 4 y 5 de la subsección Habilitar el acceso controlado a carpetas manualmente más arriba.

Iniciar RanSim

Para ejecutar RanSim, siga estos pasos:

  1. En la ventana de Configuración de RanSim de KnowBe4, haga clic en Iniciar. O haga doble clic en el ícono de KnowBe4 Ran Simulator en su computadora.
  2. En la ventana de Le damos la bienvenida a RanSim de KnowBe4, haga clic en el botón Verificar ahora. Cuando haga clic en este botón, RanSim comenzará a ejecutar las simulaciones de ransomware en su computadora, incluidos los 23 casos de ransomware y dos casos de falsos positivos. Para conocer más sobre estos casos de ransomware y de falsos positivos, consulte las secciones Casos de ransomware y Casos de falsos positivos a continuación.

Puede ver el progreso de los casos en la ventana de KnowBe4 Ransim.

Una vez que RanSim haya ejecutado todos los casos, se mostrarán los resultados. Puede ver los resultados para cada caso, incluidos los Vulnerables, los No Vulnerables y los Bloqueados incorrectamente. Para obtener información sobre cómo ver y analizar sus resultados, consulte la sección Analizar los resultados de RanSim a continuación.

Consejo: Puede hacer clic en el botón Verificar ahora de nuevo para ejecutar casos adicionales. Después de ejecutar sus primeros casos, también tiene la opción de agregar sus propios archivos de prueba a la carpeta de archivos de prueba. Luego, RanSim ejecutará pruebas para ver si estos archivos pueden ser vulnerables a ataques de ransomware.

Opciones de idioma

De forma predeterminada, el idioma de visualización de RanSim estará configurado en inglés (Estados Unidos). Sin embargo, también puede seleccionar Español (España) o Francés (Francia).

Para cambiar la configuración de idioma, haga clic en el enlace del idioma actual en la esquina inferior derecha del cliente. Al hacer clic, se abrirá el modo Idioma de visualización y podrá seleccionar un idioma en el menú desplegable.

Casos de ransomware

Cuando se inicie, RanSim ejecutará 23 casos de ransomware en su computadora. Para obtener más información sobre cada caso, consulte la siguiente tabla:

Nota: Para conocer más sobre los casos de falsos positivos que RanSim ejecuta en su computadora, consulte la sección Casos de falsos positivos a continuación.

BlackKingdomVariant

Este caso simula el ransomware que parece estar escrito en Python. Este tipo de ransomware utiliza elementos de código que son idénticos al código compartido en foros de desarrollo. Este tipo de ransomware también utiliza código no utilizado u obsoleto.

Ejemplo: Black Kingdom o GAmmAWare

Collaborador

Este caso simula al ransomware que utiliza múltiples procesos para cifrar archivos. En este caso, el código ejecutable solicita otros procesos para enumerar los archivos de prueba. Luego, los archivos originales se cifran, se mueven y se eliminan.

Ejemplo: Actualmente, no hay ejemplos de este caso. Sin embargo, su software de protección de terminales debería estar preparado para detectar y detener este tipo de ataque.

CritroniVariant

Este caso simula el ransomware que cifra archivos mediante un patrón de ataque poco común.

Ejemplo: Critroni o CBT

DearCryVariant

Este caso simula el ransomware que cifra archivos al copiarlos y luego elimina los archivos originales. El método de cifrado utilizado en este caso no requiere contacto con el servidor de comando y control del atacante para cifrar los archivos.

Ejemplo: DearCry

DjVuVariant

Este caso simula los métodos utilizados por el ransomware Maze. Normalmente utilizado para atacar grandes organizaciones, DjVu cifra copias de archivos específicos y elimina los archivos originales.

Ejemplo: DjVu

HollowInjector

Este caso simula el ransomware que utiliza el vaciado de procesos para inyectar código malicioso en un proceso legítimo.

Ejemplo: Jaff o GandCrab

Injector

Este caso simula el ransomware que cifra archivos al inyectar código malicioso en un proceso legítimo. Este tipo de ransomware inyecta código mediante un método común, como la inyección de biblioteca de enlace dinámico (DLL).

Ejemplo: GandCrab

InsideCryptor

Este caso simula el ransomware que cifra archivos y agrega los datos cifrados al archivo original.

Ejemplo: PClock

LockyVariant

Este caso simula una variante del ransomware Locky. Este caso solo simula el método que utiliza Locky para infectar los archivos, no su algoritmo de cifrado.

Ejemplo: Locky

MazeVariant

Este caso simula los métodos utilizados por el ransomware Maze.

Ejemplo: Maze

Mover

Este caso simula el ransomware que cifra archivos y los mueve a una subcarpeta de la carpeta original.

Ejemplo: Alpha

PaymerVariant

Este caso simula los métodos utilizados por ransomware, como DoppelPaymer.

Ejemplo: DoppelPaymer

PhobosVariant

Este escenario simula los métodos utilizados por el ransomware Phobos. Phobos, que normalmente se utiliza para atacar organizaciones pequeñas, cifra copias de archivos específicos y elimina los archivos originales.

Ejemplo: Phobos

ReflectiveInjector

Este caso simula el ransomware que utiliza un método avanzado para inyectar código en un proceso legítimo.

Ejemplo: Chimera o Rokku

Replacer

Este caso simula un ataque realizado por ransomware que reescribe el contenido de los archivos que tienen extensiones específicas, como .docx o .pdf. El contenido se sobrescribe con contenido del mismo formato que el archivo original. Una vez que el contenido está sobrescrito, se le solicita a los usuarios que paguen un rescate para restaurar el contenido original.

Ejemplo: DirCrypt

RigSimulator

Este caso simula la criptominería, que mina criptomonedas mediante el CPU de una computadora.

Ejemplo: XMRig

RIPlacer

Este caso prueba si las máquinas que están protegidas con el acceso controlado a carpetas de Microsoft son vulnerables a los ataques.

Ejemplo: Actualmente, no hay ejemplos de este caso. Sin embargo, su software de protección de terminales debería estar preparado para detectar y detener este tipo de ataque.

SlowCryptor

Este caso simula el ransomware que cifra archivos lentamente para evitar ser detectado.

Ejemplo: Variante FCrypt

Streamer

Este caso simula el ransomware que cifra varios archivos y mueve la información cifrada a un único archivo.

Ejemplo: Bart

StrongCryptor

Este caso simula un ataque realizado por la mayoría de los tipos de ransomware. Para cada archivo de prueba, RanSim crea un archivo nuevo que contiene el contenido cifrado del archivo de prueba. Luego, RanSim sobrescribe el contenido del archivo de prueba original y elimina el archivo.

El cifrado se realiza mediante AES.

Ejemplo: Variante CryptoLocker sin comunicación a la red

StrongCryptorFast

Este caso simula un ataque realizado por muchos tipos de ransomware. Para cada archivo de prueba, RanSim crea un archivo nuevo que contiene el contenido cifrado del archivo de prueba original. Luego, RanSim elimina todos los archivos de prueba para que solo queden las versiones cifradas de los archivos de prueba.

El cifrado se realiza mediante AES.

Ejemplo: CryptoLocker

StrongCryptorNet

Este caso simula un ataque realizado por muchos tipos de ransomware. Para cada archivo de prueba, RanSim crea un archivo de prueba nuevo que contiene el contenido cifrado del archivo de prueba. Luego, RanSim elimina el archivo de prueba original.

El cifrado se realiza mediante AES. En este caso, RanSim también intenta crear una conexión HTTP a la dirección IP 127.0.0.1 en el puerto 23054 para enviar la clave de cifrado.

Ejemplo: Variante CryptoLocker con comunicación al servidor de comando y control

ThorVariant

Este caso simula una variante del ransomware Thor. Este caso solo simula el método que utiliza Thor para infectar los archivos, no su algoritmo de cifrado.

Ejemplo: Thor

VirlockVariant

Este caso simula un ransomware complejo. Depende de un proceso de “perro guardián” que espera a que comience otro caso antes. Luego, si el otro caso se bloquea, este caso recrea el otro caso y lo reinicia.

Ejemplo: Virlock

WeakCryptor

Este caso simula un ataque realizado con un tipo de cifrado débil. Para cada archivo de prueba, RanSim crea un archivo de prueba nuevo que contiene el contenido cifrado del archivo de prueba. Luego, RanSim elimina el archivo de prueba original.

En este caso, el cifrado se simula al comprimir el contenido del archivo original mediante GZip. Luego, el primer byte del resultado, 0x1F, se reemplaza por 0x00.

Ejemplo: TeleCrypt

Casos de falsos positivos

Además de los 23 casos de ransomware, RanSim también ejecuta dos casos de falsos positivos en su computadora. Los falsos positivos son archivos o programas que se etiquetan incorrectamente como maliciosos y son bloqueados por el software de protección de terminales.

Los dos casos de falsos positivos de RanSim se llaman el Archivador y el Removedor. Si su software de protección de terminales bloquea alguno de estos casos, entonces habrá un aumento en los resultados de Bloqueados incorrectamente en RanSim. Para obtener información sobre cómo analizar sus resultados, consulte la sección Analizar los resultados de RanSim a continuación.

Si los casos de falsos positivos están bloqueados, es posible que sus resultados de RanSim no sean una medida exacta de la efectividad del software de protección de terminales.

Importante: Lamentablemente, no podemos impedir que el software de protección de terminales bloquee los casos de falsos positivos.

Analizar los resultados de RanSim

Una vez que RanSim haya terminado de ejecutar todos los casos de ransomware y de falsos positivos, puede ver sus resultados en la ventana KnowBe4 RanSim.

En las casillas Vulnerable, No vulnerable y Bloqueados incorrectamente que se encuentran en la esquina superior izquierda de la ventana, puede ver la cantidad de casos en cada estado. Idealmente, sus resultados muestran 0/23 casos Vulnerables, 23/23 casos No vulnerables y 0/2 casos de Bloqueados incorrectamente.

En la ventana KnowBe4 RanSim, también puede ver un gráfico de torta y una tabla con más información sobre sus resultados. El gráfico de torta muestra información sobre el tipo de archivos vulnerables encontrados, como documentos e imágenes. La tabla muestra información sobre cada caso, incluidos el nombre del caso y el estado, una descripción y la ruta de archivo de los archivos cifrados. También puede hacer clic en el enlace Exportar a CSV que se encuentra en la esquina superior derecha de la sección Casos para descargar un archivo CSV. El archivo CSV contiene información sobre sus resultados de RanSim.

¿Este artículo fue útil?

Usuarios a los que les pareció útil: 6 de 9

¿No encuentra lo que busca?

Contacte a soporte