RanSim

Compartir

¿Le resulta útil este artículo?

Última actualización:

Manual de producto de RanSim

El Simulador de ransomware (RanSim) es una herramienta que simula ataques de ransomware para comprobar la respuesta de su software de protección de puntos de conexión en caso de un ataque de ransomware real. Puede utilizar RanSim para comprobar si su software de protección de puntos de conexión bloquearía un ransomware o crearía falsos positivos. También puede utilizar RanSim para ver el efecto de un ransomware en archivos específicos.

Si prefiere los tutoriales en vídeo, también puede ver el vídeo RanSim.

Importante: Para obtener resultados precisos, es necesario que su software antivirus esté configurado y funcione con normalidad mientras utiliza RanSim.

Requisitos previos

Para instalar e iniciar RanSim, necesitará cumplir los requisitos que se enumeran a continuación:

  • Su ordenador debe usar Microsoft Windows 10 de 64 bits o posterior.
  • Su ordenador debe tener al menos un procesador de 2 núcleos, 2 GB de RAM y 100 MB libres en el disco duro.
  • Su ordenador debe poder conectarse a internet.
  • Su ordenador debe utilizar .NET Framework 4.5.2 para iniciar la herramienta.
    Importante: No obstante, si su ordenador no utiliza este marco de trabajo, se instalará automáticamente al instalar RanSim.
  • Para ejecutar nuestro escenario de ransomware RIPlacer, debe habilitar el acceso controlado a carpetas. Para obtener más información, consulte la sección Habilitación del acceso controlado a carpetas de este artículo.
Importante: Para obtener resultados precisos, le recomendamos que instale RanSim en un ordenador que utilice los mismos programas y el mismo software de seguridad que los ordenadores de sus usuarios.

Instalación de RanSim

Una vez que haya verificado que su ordenador cumple los requisitos previos de la sección Requisitos previos anterior, estará preparado para instalar RanSim.

Para instalar RanSim, siga estos pasos:

  1. Diríjase a knowbe4.com/ransomware-simulator en su navegador.
  2. Complete los campos del formulario Quiero descargar RanSim.
  3. Haga clic en Obtener RanSim.
  4. Haga clic en el enlace Haga clic aquí para descargar RanSim. Al hacer clic en este enlace, se descargará el archivo ransim.zip en su ordenador.
  5. Haga doble clic en el archivo ransim.zip en su administrador de archivos.
  6. A continuación, haga doble clic en el archivo SimulatorSetup.exe. Al hacer doble clic en este archivo, se le solicitará que escriba una contraseña.
  7. Escriba «knowbe4» en el campo para empezar a instalar RanSim en su ordenador.

Cuando se haya terminado de instalar RanSim, aparecerá el mensaje «La instalación se ha completado correctamente» (i) en la ventana Configuración de RanSim de KnowBe4. Para aprender a iniciar RanSim, consulte la siguiente sección Inicio de RanSim.

Importante: Para la instalación correcta de RanSim, los archivos SimulatorSetup.exe, Ranstart.exe, MainStarter.exe y Collector.exe deben poder ejecutarse. Si su antivirus o antimalware bloquea la ejecución de estos archivos, deberá configurar su programa para que permita la ejecución. Este proceso variará en función del tipo de antivirus o antimalware que utilice. Si alguno de estos archivos está en cuarentena y no ha visto ningún aviso que le permita ejecutarlo, deberá restaurar el archivo de la cuarentena y repetir los pasos anteriores. Para obtener más información, consulte la sección Software antivirus en el artículo Preguntas frecuentes sobre RanSim.

Habilitación del acceso controlado a carpetas

Para ejecutar el escenario de ransomware RIPlacer, el acceso controlado a carpetas de Microsoft debe estar habilitado en su ordenador.

Para aprender a habilitar el acceso controlado a carpetas de forma manual o mediante la directiva de grupo, haga clic en los siguientes enlaces:

Habilitación del acceso controlado a carpetas de forma manual

Para habilitar el acceso controlado a carpetas de forma manual, siga estos pasos:

  1. Haga clic en el botón Windows y escriba «Protección contra ransomware» en la barra de búsqueda.
  2. Active la opción Acceso controlado a carpetas.
  3. Añada las siguientes rutas de acceso de carpeta a la sección Carpetas protegidas:
    • c:\KB4\Newsim\DataDir\MainTests\8-Files
    • c:\KB4\Newsim\DataDir\MainTests\12-Files
    • c:\KB4\Newsim\DataDir\MainTests\16-Files
  4. Vuelva a la pantalla Protección contra ransomware y haga clic en el enlace Permitir una aplicación a través del acceso controlado a carpetas.
  5. Añada las siguientes aplicaciones a la lista de permitidas:
    • c:\windows\system32\cmd.exe
    • c:\windows\system32\notepad.exe
    • c:\KB4\Newsim\MainStarter.exe

Habilitación del acceso controlado a carpetas mediante directiva de grupo

Para habilitar el acceso controlado a carpetas mediante directiva de grupo, siga estos pasos:

  1. Abra su Consola de administración de directivas de grupo.
  2. Haga clic con el botón derecho en el Objeto de directiva de grupo que quiera configurar y haga clic en Editar.
  3. En el Editor de administración de directivas de grupo, diríjase a Configuración del equipo.
  4. Haga clic en Directivas y, a continuación, en Plantillas administrativas.
  5. Expanda el árbol de directorios en Componentes de Windows > Antivirus de Microsoft Defender > Microsoft Defender Exploit Guard > Acceso controlado a carpetas.
  6. Haga doble clic en Configurar acceso controlado a carpetas y, a continuación, haga clic en Habilitado.
  7. Configure la característica Proteger mis carpetas y seleccione Supervisar.
  8. Configure las carpetas protegidas y las aplicaciones permitidas. Puede encontrar esta información en los pasos 3, 4 y 5 de la subsección Habilitación del acceso controlado a carpetas de forma manual anterior.

Inicio de RanSim

Para iniciar RanSim, siga estos pasos:

  1. En la ventana Configuración de RanSim de KnowBe4, haga clic en Iniciar. O bien haga doble clic en el icono del Simulador Ran de KnowBe4 en su ordenador.
  2. En la ventana Bienvenida a RanSim de KnowBe4, haga clic en el botón Comprobar ahora. Al hacer clic en este botón, RanSim empezará a ejecutar simulaciones de ransomware en su ordenador, incluidos 23 escenarios de ransomware y dos escenarios de falso positivo. Para obtener más información sobre estos escenarios de ransomware y escenarios de falso positivo, consulte las secciones Escenarios de ransomware y Escenarios de falso positivo a continuación.

Puede ver el progreso de los escenarios en la ventana RanSim de KnowBe4.

Una vez que RanSim haya ejecutado todos los escenarios, se mostrarán sus resultados. Puede ver los resultados de cada escenario, incluidos los escenarios Vulnerables, No vulnerables y Bloqueados de forma incorrecta. Para obtener más información sobre la visualización y el análisis de sus resultados, consulte la sección Análisis de sus resultados de RanSim a continuación.

Consejo:Puede hacer clic de nuevo en el botón Comprobar ahora para ejecutar escenarios adicionales. Después de ejecutar sus primeros escenarios, también tiene la opción de añadir sus propios archivos de prueba a la carpeta de archivos de prueba. A continuación, RanSim ejecutará pruebas para ver si esos archivos serían vulnerables a ataques de ransomware.

Opciones de idioma

De forma predeterminada, el idioma de la interfaz de RanSim será Inglés (Estados Unidos). Sin embargo, también puede seleccionar Español (España) o Francés (Francia).

Para cambiar la configuración del idioma, haga clic en el enlace del idioma actual en la esquina inferior derecha del cliente. Al hacer clic, se abrirá el cuadro de diálogo Idioma de la interfaz, en el que podrá seleccionar un idioma del menú desplegable.

Escenarios de ransomware

Cuando se inicie, RanSim ejecutará 23 escenarios de ransomware en su ordenador. Para obtener más información sobre cada escenario, consulte la siguiente tabla:

Nota: Para obtener más información sobre los dos escenarios de falso positivo que RanSim ejecutará en su ordenador, consulte la sección Escenarios de falso positivo a continuación.

BlackKingdomVariant

Este escenario simula un ransomware que parece estar escrito en Python. Este tipo de ransomware utiliza elementos de código idénticos al código compartido en foros de desarrollo. Este tipo de ransomware también utiliza código no usado o inactivo.

Ejemplo: Black Kingdom o GAmmAWare

Collaborator

Este escenario simula un ransomware que utiliza varios procesos para cifrar archivos. En este escenario, el código ejecutable recurre a otros procesos para enumerar los archivos de prueba. A continuación, los archivos originales se cifran, se mueven y se eliminan.

Ejemplo: en este momento, no hay ningún ejemplo de este escenario. Sin embargo, su software de protección de puntos de conexión debería estar preparado para detectar y detener este tipo de ataque.

CritroniVariant

Este escenario simula un ransomware que cifra archivos mediante un patrón de ataque poco común.

Ejemplo: Critroni o CBT

DearCryVariant

Este escenario simula un ransomware que cifra archivos copiándolos y eliminando los originales. El método de cifrado usado en este escenario no necesita ponerse en contacto con el servidor de comando y control del atacante para cifrar archivos.

Ejemplo: DearCry

DjVuVariant

Este escenario simula los métodos utilizados por el ransomware DjVu. DjVu, que suele utilizarse para atacar a grandes organizaciones, cifra copias de los archivos objetivo y elimina los archivos originales.

Ejemplo: DjVu

HollowInjector

Este escenario simula un ransomware que utiliza el vaciado de procesos para insertar código malicioso en un proceso legítimo.

Ejemplo: Jaff o GandCrab

Injector

Este escenario simula un ransomware que cifra archivos insertando código malicioso en un proceso legítimo. Este tipo de ransomware inserta código utilizando un método común, como la inserción de bibliotecas de vínculos dinámicos (DLL).

Ejemplo: GandCrab

InsideCryptor

Este escenario simula un ransomware que cifra archivos y añade los datos cifrados al archivo original.

Ejemplo: PClock

LockyVariant

Este escenario simula una variante del ransomware Locky. Este escenario solo simula el método que utiliza Locky para infectar archivos, pero no su algoritmo de cifrado.

Ejemplo: Locky

MazeVariant

Este escenario simula los métodos utilizados por el ransomware Maze.

Ejemplo: Maze

Mover

Este escenario simula un ransomware que cifra archivos y los mueve a una subcarpeta de la carpeta original.

Ejemplo: Alpha

PaymerVariant

Este escenario simula métodos utilizados por ransomware como DoppelPaymer.

Ejemplo: DoppelPaymer

PhobosVariant

Este escenario simula los métodos utilizados por el ransomware Phobos. Phobos, que suele utilizarse para atacar a pequeñas organizaciones, cifra copias de los archivos objetivo y elimina los archivos originales.

Ejemplo: Phobos

ReflectiveInjector

Este escenario simula ransomware que utiliza un método avanzado para insertar código de cifrado en un proceso legítimo.

Ejemplo: Chimera o Rokku

Replacer

Este escenario simula un ataque ejecutado por un ransomware que sobrescribe el contenido de archivos que tienen extensiones específicas, como .docx o .pdf. El contenido se sobrescribe con contenido del mismo formato que el archivo original. Una vez que se ha sobrescrito el contenido, se les solicita a los usuarios que paguen un rescate para recuperar el contenido de los archivos originales.

Ejemplo: DirCrypt

RigSimulator

Este escenario simula la minería de criptomonedas, que mina criptomonedas utilizando la CPU de un ordenador.

Ejemplo: XMRig

RIPlacer

Este escenario comprueba si los equipos que están protegidos por el acceso controlado a carpetas de Microsoft son vulnerables a ataques.

Ejemplo: en este momento, no hay ningún ejemplo de este escenario. Sin embargo, su software de protección de puntos de conexión debería estar preparado para detectar y detener este tipo de ataque.

SlowCryptor

Este escenario simula un ransomware que cifra archivos lentamente para evitar su detección.

Ejemplo: variante de FCrypt

Streamer

Este escenario simula un ransomware que cifra varios archivos y mueve los datos cifrados a un único archivo.

Ejemplo: Bart

StrongCryptor

Este escenario simula un ataque realizado por la mayoría de los tipos de ransomware. Para cada archivo de prueba, RanSim crea un nuevo archivo que contiene el contenido cifrado del archivo de prueba. A continuación, RanSim sobrescribe el contenido del archivo de prueba original y elimina ese archivo.

El cifrado se realiza utilizando AES.

Ejemplo: variante de CryptoLocker sin comunicación de red

StrongCryptorFast

Este escenario simula un ataque realizado por muchos tipos de ransomware. Para cada archivo de prueba, RanSim crea un nuevo archivo que contiene el contenido cifrado del archivo de prueba original. A continuación, RanSim elimina todos los archivos de prueba originales para que solo se conserven las versiones cifradas de los archivos de prueba.

El cifrado se realiza utilizando AES.

Ejemplo: CryptoLocker

StrongCryptorNet

Este escenario simula un ataque realizado por muchos tipos de ransomware. Para cada archivo de prueba, RanSim crea un nuevo archivo de prueba que contiene el contenido cifrado del archivo de prueba original. A continuación, RanSim elimina el archivo de prueba original.

El cifrado se realiza utilizando AES. En este escenario, RanSim también intenta crear una conexión HTTP con la dirección IP 127.0.0.1 en el puerto 23054 para enviar la clave de cifrado.

Ejemplo: variante de CryptoLocker con comunicación con el servidor de comando y control

ThorVariant

Este escenario simula una variante del ransomware Thor. Este escenario solo simula el método que utiliza Thor para infectar archivos, pero no su algoritmo de cifrado.

Ejemplo: Thor

VirlockVariant

Este escenario simula un ransomware complejo. Este escenario depende de un proceso «guardián» que espera a que otro escenario se inicie primero. A continuación, si el otro escenario se bloquea, este escenario vuelve a crear el otro escenario y lo reinicia.

Ejemplo: Virlock

WeakCryptor

Este escenario simula un ataque realizado mediante un tipo de cifrado débil. Para cada archivo de prueba, RanSim crea un nuevo archivo de prueba que contiene el contenido cifrado del archivo de prueba original. A continuación, RanSim elimina el archivo de prueba original.

En este escenario, el cifrado se simula comprimiendo el contenido del archivo original mediante GZip. A continuación, el primer byte del resultado, 0x1F, se reemplaza por 0x00.

Ejemplo: TeleCrypt

Escenarios de falso positivo

Además de los 23 escenarios de ransomware, RanSim también ejecutará dos escenarios de falso positivo en su ordenador. Los falsos positivos son archivos o programas que se clasifican de forma incorrecta como maliciosos y quedan bloqueados por su software de protección de puntos de conexión.

Los dos escenarios de falso positivo de RanSim se denominan Archiver y Remover. Si su software de protección de puntos de conexión bloquea cualquiera de estos escenarios, aumentarán sus resultados de Bloqueados de forma incorrecta. Para obtener más información sobre la visualización de sus resultados, consulte la sección Análisis de sus resultados de RanSim a continuación.

Si se bloquean los escenarios de falso positivo, es posible que sus resultados de RanSim no constituyan una medida precisa de la eficacia de su software de protección de puntos de conexión.

Importante: Lamentablemente, no podemos evitar que su software de protección de puntos de conexión bloquee los escenarios de falso positivo.

Análisis de sus resultados de RanSim

Cuando RanSim ha terminado de ejecutar todos los escenarios de ransomware y de falso positivo, puede consultar sus resultados en la ventana RanSim de KnowBe4.

En los recuadros Vulnerables, No vulnerables y Bloqueados de forma incorrecta de la esquina superior izquierda de la ventana puede consultar el número de escenarios en cada estado. Lo ideal sería que sus resultados mostraran 0/23 escenarios Vulnerables, 23/23 escenarios No vulnerables y 0/2 escenarios Bloqueados de forma incorrecta.

En la ventana RanSim de KnowBe4, también puede consultar un gráfico circular y una tabla con más información sobre sus resultados. El gráfico circular muestra información sobre el tipo de archivos vulnerables hallados, como documentos o imágenes. La tabla muestra información sobre cada escenario, incluido el nombre y el estado del escenario, una descripción del mismo y la ruta de acceso de los archivos de prueba cifrados. También puede hacer clic en el enlace Exportar a CSV en la esquina superior derecha de la sección Escenarios para descargar un archivo CSV. El archivo CSV contiene información sobre sus resultados de RanSim.

¿Le ha resultado útil este artículo?

Usuarios a los que les pareció útil: 6 de 9

¿No encuentra lo que busca?

Hablar con asistencia técnica