RanSim

Partager

C’est article est-il utile?

Dernière mise à jour :

Manuel du produit RanSim

Ransomware Simulator (RanSim) est un outil de simulation d’attaques par rançongiciel qui permet de voir comment votre logiciel de protection de point d’extrémité répondrait en cas d’attaque réelle par rançongiciel. Vous pouvez utiliser RanSim pour voir si votre logiciel de protection de point d’extrémité bloquerait un rançongiciel ou s’il créerait de faux positifs. Vous pouvez utiliser RanSim pour voir comment des fichiers spécifiques seraient affectés par des rançongiciels.

Si vous préférez utiliser des tutoriels vidéos, vous pouvez également regarder notre vidéo RanSim.

Important :Pour des résultats précis, votre logiciel antivirus doit être configuré et en cours de fonctionnement normal lorsque vous utilisez RanSim.

Prérequis

Pour installer et lancer RanSim, vous devez satisfaire aux exigences énumérées ci-dessous :

  • Votre ordinateur doit utiliser Microsoft Windows 64 bit version 10 ou plus récente.
  • Votre ordinateur doit disposer d’au moins 2 cœurs de processeur, 2 Go de mémoire vive et 100 Mo d’espace libre sur le disque dur.
  • Votre ordinateur doit disposer d’une connexion à Internet.
  • Votre ordinateur doit disposer de .NET Framework 4.5.2 pour le lancement de l’outil.
    Important :Cependant, si votre ordinateur n’utilise pas ce cadre d’application, celui-ci sera installé automatiquement au moment de l’installation de RanSim.
  • Pour exécuter notre scénario de rançongiciel RIPlacer, vous devez activer l’accès contrôlé aux dossiers. Pour obtenir plus d’informations, consultez notre section Activer l’accès contrôlé aux dossiers du présent article.
Important :Pour obtenir des résultats exacts, nous vous recommandons d’installer RanSim sur un ordinateur qui utilise les mêmes programmes et logiciels de sécurité que les ordinateurs de vos utilisateurs.

Installer RanSim

Une fois que vous avez vérifié que votre ordinateur satisfait aux exigences énumérées dans la section Prérequis ci-dessus, vous êtes prêt à installer RanSim.

Pour installer RanSim, suivez les indications ci-dessous :

  1. À l’aide de votre navigateur, accédez à knowbe4.com/ransomware-simulator.
  2. Remplissez les champs du formulaire Je veux télécharger mon RanSim.
  3. Cliquez sur Obtenir RanSim!
  4. Cliquez sur le lien Cliquer ici pour télécharger RanSim. Lorsque vous cliquez sur ce lien, le fichier ransim.zip est téléchargé sur votre ordinateur.
  5. Double-cliquez sur le fichier ransim.zip dans votre gestionnaire de fichiers.
  6. Puis, double-cliquez sur le fichier SimulatorSetup.exe. Lorsque vous double-cliquez sur ce fichier, l’on vous invite à saisir un mot de passe.
  7. Entrez « knowbe4 » dans le champ pour commencer l’installation de RanSim sur votre ordinateur.

Lorsque l’installation de RanSim est terminée, le message « Installation complétée avec succès » s’affiche dans la fenêtre Configuration de RanSim de KnowBe4. Pour apprendre comment lancer RanSim, consultez la section Lancer RanSim ci-dessous.

Important : Pour que RanSim puisse être installé correctement, les fichiers SimularorSetup.exe, Ranstart.exe, MainRunner.exe, et Collector.exe doivent pouvoir s’exécuter. Si votre antivirus ou dispositif de protection contre les logiciels malveillants bloque ces fichiers, vous devrez le configurer pour qu’il les autorise. Ce processus varie en fonction de l’antivirus ou du dispositif de protection contre les logiciels malveillants utilisé. Si l’un de ces fichiers est placé en quarantaine et qu’aucun message d’avertissement ne s’est affiché pour vous proposer d’autoriser l’exécution du fichier, vous devrez le restaurer depuis la quarantaine et répétez les étapes ci-dessus. Pour plus d’informations, consultez la section Logiciel antivirus de notre article Foire aux questions (FAQ) sur RanSim.

Activer l’accès contrôlé aux dossiers

Pour exécuter le scénario de rançongiciel RIPlacer, vous devez activer l’accès contrôlé aux dossiers sur votre ordinateur.

Pour apprendre comment activer manuellement l’accès contrôlé aux dossiers ou pour l’activer à l’aide de la stratégie de groupe, cliquez sur les liens ci-dessous :

Activer manuellement l’accès contrôlé aux dossiers

Pour activer manuellement l’accès contrôlé aux dossiers, suivez les indications ci-dessous :

  1. Cliquez sur le bouton Windows et saisissez « Protection contre les rançongiciels » dans la barre de recherche.
  2. Activez l’option Accès contrôlé aux dossiers.
  3. Ajoutez le chemin d’accès au dossier suivant à la section Dossiers protégés :
    • c:\KB4\Newsim\DataDir\MainTests\8-Files
    • c:\KB4\Newsim\DataDir\MainTests\12-Files
    • c:\KB4\Newsim\DataDir\MainTests\16-Files
  4. Retournez à l’écran Protection contre les rançongiciels et cliquez sur le lien Autoriser une application à accéder aux dossiers contrôlés.
  5. Ajoutez les applications suivantes à la liste d’autorisations :
    • c:\windows\system32\cmd.exe
    • c:\windows\system32\notepad.exe
    • c:\KB4\Newsim\MainStarter.exe

Activer l’accès contrôlé aux dossiers à l’aide de la stratégie de groupe

Pour activer l’accès contrôlé aux dossiers à l’aide de la stratégie de groupe, suivez les indications ci-dessous :

  1. Ouvrez votre Console de gestion des stratégies de groupe.
  2. Cliquez avec le bouton droit de la souris sur l’objet de stratégie de groupe que vous souhaitez configurer et cliquez sur Modifier.
  3. Dans l’Éditeur de gestion des stratégies de groupe, allez à Configuration de l’ordinateur.
  4. Cliquez sur Politiques, puis cliquez sur Modèles administratifs.
  5. Développez l’arborescence de répertoires jusqu’à Composantes Windows >Antivirus Microsoft Defender > Microsoft Defender Exploit Guard > Accès contrôlé aux dossiers.
  6. Double-cliquez sur le paramètre Configurer l’accès contrôlé aux dossiers, puis cliquez sur Activer.
  7. Configurez le paramètre Protéger mes dossiers avec la valeur Surveiller.
  8. Configurez les dossiers protégés et les applications autorisées. Les informations se trouvent aux étapes 3, 4 et 5 de la sous-section Activer manuellement l’accès contrôlé aux dossiers ci-dessus.

Lancer RanSim

Pour lancer RanSim, suivez les indications ci-dessous :

  1. Dans la fenêtre Configuration de RanSim de KnowBe4, cliquez sur Lancer, ou double-cliquez sur l’icône Ran Simulator de KnowBe4 sur votre ordinateur.
  2. Dans la fenêtre Bienvenue dans RanSim de KnowBe4, cliquez sur le bouton Vérifier maintenant. Lorsque vous cliquez sur ce bouton, RanSim démarre automatiquement les simulations de rançongiciel sur votre ordinateur, incluant 23 scénarios d’infection par rançongiciel et 2 scénarios de faux positifs. Pour en apprendre davantage au sujet de ces scénarios d’infection par rançongiciel et de faux positifs, consultez les sections Scénarios d’infection par rançongiciel et Scénarios de faux positifs ci-dessous.

Vous pouvez consulter la progression des scénarios dans la fenêtre RanSim de KnowBe4.

Lorsque RanSim a exécuté tous les scénarios, vos résultats s’affichent. Vous pouvez consulter les résultats de chaque scénario, y compris les scénarios Vulnérables, les scénarios Non vulnérables et les scénarios Bloqués par erreur. Pour obtenir plus d’information sur la manière de consulter et analyser vos résultats, consultez la section Analyser vos résultats RanSim ci-dessous.

Conseil :Vous pouvez cliquer sur le bouton Vérifier maintenant pour exécuter des scénarios additionnels. Après avoir exécuté vos premiers scénarios, vous avez aussi la possibilité d’ajouter vos propres fichiers de test au dossier des fichiers de test. RanSim exécutera alors des tests pour voir si ces fichiers seraient vulnérables à des attaques par rançongiciel.

Options de langue

Par défaut, la langue d’affichage de RanSim est l’anglais (États-Unis). Cependant, vous pouvez également sélectionner espagnol (Espagne) ou français (France).

Pour modifier vos paramètres de langue, cliquez sur le lien de langue actuel situé dans le coin inférieur droit du client. Lorsque vous cliquez sur ce lien, la fenêtre modaleLangue d’affichage s’ouvre et vous permet de sélectionner une langue dans le menu déroulant.

Scénarios d’infection par rançongiciel

Une fois lancé, RanSim exécute 23 scénarios d’infection par rançongiciel sur votre ordinateur. Pour en apprendre davantage au sujet de chaque scénario, consultez le tableau ci-dessous :

Remarque :Pour en apprendre davantage au sujet des scénarios de faux positifs que RanSim exécute sur votre ordinateur, consultez la section Scénarios de faux positifs ci-dessous.

BlackKingdomVariant

Ce scénario simule un rançongiciel qui semble être écrit en Python. Ce type de rançongiciel utilise des éléments de code qui sont identiques au code partagé sur des forums de développement. Ce type de rançongiciel utilise également du code inutilisé ou orphelin.

Exemple : Black Kingdom ou GAmmAWare

Collaborator

Ce scénario simule un rançongiciel qui utilise de multiples processus pour chiffrer les fichiers. Dans ce scénario, le code exécutable fait appel à d’autres processus pour énumérer les fichiers de test. Puis, les fichiers originaux sont chiffrés, déplacés et supprimés.

Exemple : Il n’y a actuellement aucun exemple de ce scénario. Cependant, votre logiciel de protection de point d’extrémité devrait être prêt à détecter et bloquer ce type d’attaque.

CritroniVariant

Ce scénario simule un rançongiciel qui chiffre les fichiers à l’aide d’un schéma d’attaque peu courant.

Exemple : Critroni ou CBT

DearCryVariant

Ce scénario simule un rançongiciel qui chiffre des fichiers en les copiant, puis en supprimant les fichiers originaux. La méthode de chiffrement utilisée dans ce scénario ne requiert pas de contacter le serveur de commande et de contrôle de l’attaquant pour chiffrer les fichiers.

Exemple : DearCry

DjVuVariant

Ce scénario simule les méthodes utilisées par le rançongiciel DjVu. DjVu est généralement utilisé pour attaquer de grandes organisations. Il chiffre des copies des fichiers visés et supprime les originaux.

Exemple : DjVu

HollowInjector

Ce scénario simule un rançongiciel qui utilise l’évidement de processus pour injecter du code malveillant dans un processus légitime.

Exemple : Jaff ou GrandCrab

Injector

Ce scénario simule un rançongiciel qui chiffre les fichiers en injectant du code malveillant dans des processus légitimes. Ce type de rançongiciel utilise une méthode courante pour injecter du code, comme l’injection d’une bibliothèque de liens dynamique (DLL).

Exemple : Gandcrab

InsideCryptor

Ce scénario simule un rançongiciel qui chiffre les fichiers et ajoute les données chiffrées aux fichiers originaux.

Exemple : PClock

LockyVariant

Ce scénario simule une variante du rançongiciel Locky. Ce scénario simule uniquement la méthode qu’utilise Locky pour infecter les fichiers, mais pas son algorithme de chiffrement.

Exemple : Locky

MazeVariant

Ce scénario simule les méthodes utilisées par le rançongiciel Maze.

Exemple : Maze

Mover

Ce scénario simule un rançongiciel qui chiffre les fichiers et les déplace dans un sous-répertoire du dossier original.

Exemple : Alpha

PaymerVariant

Ce scénario simule les méthodes utilisées par des rançongiciels comme DoppelPaymer.

Exemple : DoppelPaymer

PhobosVariant

Ce scénario simule les méthodes utilisées par le rançongiciel Phobos. Phobos est généralement utilisé pour attaquer de petites organisations. Il chiffre des copies des fichiers visés et supprime les originaux.

Exemple : Phobos

ReflectiveInjector

Ce scénario simule un rançongiciel qui utilise une méthode avancée pour injecter du code de chiffrement dans des processus légitimes.

Exemple : Chimera ou Rokku

Replacer

Ce scénario simule une attaque par rançongiciel qui cible des extensions spécifiques, comme .DOCX ou .PDF, et remplace le contenu des fichiers dont les extensions correspondent. Le contenu est écrasé et remplacé par un autre contenu, dans le même format que le fichier d’origine. Une fois que le contenu est remplacé, on demande une rançon aux utilisateurs pour récupérer le contenu original de leurs fichiers.

Exemple : DirCrypt

RigSimulator

Ce scénario simule le cryptominage, le minage de cryptomonnaie à l’aide du CPU de l’ordinateur de l’utilisateur.

Exemple : XMRig

RIPlacer

Ce scénario effectue des tests pour vérifier si les appareils protégés par l’accès contrôlé aux dossiers de Microsoft sont vulnérables aux attaques.

Exemple : Il n’y a actuellement aucun exemple de ce scénario. Cependant, votre logiciel de protection de point d’extrémité devrait être prêt à détecter et bloquer ce type d’attaque.

SlowCryptor

Ce scénario simule un rançongiciel qui chiffre les fichiers lentement pour éviter la détection.

Exemple : Variante FCrypt

Streamer

Ce scénario simule un rançongiciel qui chiffre plusieurs fichiers et déplace les données chiffrées dans un seul fichier.

Exemple : Bart

StrongCryptor

Ce scénario simule une attaque standard utilisée par la plupart des rançongiciels. Pour chaque fichier de test, RanSim crée un nouveau fichier avec le contenu chiffré du fichier de test. Puis, RanSim écrase le contenu du fichier de test original et le supprime.

Le chiffrement est effectué selon la norme de chiffrement avancé (Advanced Encryption Standard, AES).

Exemple : La variante CryptoLocker, sans le système de transmission par réseau

StrongCryptorFast

Ce scénario simule une attaque utilisée par de nombreux rançongiciels. Pour chaque fichier de test, RanSim crée un nouveau fichier avec le contenu chiffré du fichier de test original. Puis, RanSim supprime tous les fichiers de test originaux afin qu’il ne reste que les versions chiffrées des fichiers de test.

Le chiffrement est effectué selon la norme de chiffrement avancé (Advanced Encryption Standard, AES).

Exemple : CryptoLocker

StrongCryptorNet

Ce scénario simule une attaque utilisée par de nombreux rançongiciels. Pour chaque fichier de test, RanSim crée un nouveau fichier de test avec le contenu chiffré du fichier de test original. Puis, RanSim supprime le fichier de test original.

Le chiffrement est effectué selon la norme de chiffrement avancé (Advanced Encryption Standard, AES). Dans ce scénario, RanSim tente également d’établir une connexion HTTP à l’adresse IP 127.0.0.1 sur le port 23054, afin d’envoyer la clé de chiffrement.

Exemple : La variante CryptoLocker, avec la transmission par serveur de commande et de contrôle

ThorVariant

Ce scénario simule une variante du rançongiciel Thor. Ce scénario simule uniquement les méthodes qu’utilise Thor pour infecter les fichiers, mais pas son algorithme de chiffrement.

Exemple : Thor

VirlockVariant

Ce scénario simule un rançongiciel complexe. Ce scénario utilise un processus de surveillance qui guette le démarrage d’un autre scénario. Puis, si cet autre scénario est bloqué, le scénario du VirlockVariant le recrée et le redémarre.

Exemple : Virlock

WeakCryptor

Ce scénario simule une attaque utilisant un type de chiffrement faible. Pour chaque fichier de test, RanSim crée un nouveau fichier de test avec le contenu chiffré du fichier de test original. Puis, RanSim supprime le fichier de test original.

Dans ce scénario, le chiffrement est simulé par la compression du contenu du fichier original à l’aide de GZip. Puis, le premier octet du résultat, 0 x 1F, est remplacé par 0 x 00.

Exemple : TeleCrypt

Scénarios de faux positifs

En plus des 23 scénarios d’infection par rançongiciel, RanSim exécute deux scénarios de faux positifs sur votre ordinateur. Les faux positifs sont des fichiers ou des programmes qui sont incorrectement identifiés comme étant malveillants et qui sont bloqués par votre logiciel de protection de point d’extrémité.

Les deux scénarios de faux positifs de RanSim sont appelés l’Archiveur et le Suppresseur. Si l’un ou l’autre de ces scénarios est bloqué par un logiciel de protection de point d’extrémité, le nombre de vos résultats RanSim Bloqués par erreur augmentera. Pour obtenir plus d’information sur la manière de revoir les résultats, consultez la section Analyser vos résultats RanSim ci-dessous.

Si les scénarios de faux positifs sont bloqués, vos résultats RanSim ne représenteront plus une mesure exacte de l’efficacité de votre logiciel de protection de point d’extrémité.

Important :Malheureusement, nous ne pouvons empêcher votre logiciel de protection de point d’extrémité de bloquer les scénarios de faux positifs.

Analyser vos résultats RanSim

Lorsque RanSim a terminé d’exécuter tous les scénarios d’infection par rançongiciel et de faux positifs, vous pouvez consulter les résultats dans la fenêtre RanSim de KnowBe4.

Dans les boîtes Vulnérables, Non vulnérables et Bloqués par erreur situées dans le coin supérieur gauche de la fenêtre, vous pouvez voir le nombre de scénarios selon chaque statut. Idéalement, vos résultats devraient être de 0/23 scénarios vulnérables, 23/23 scénarios non vulnérables et 0/2 scénarios bloqués par erreur.

Dans la fenêtre RanSim de KnowBe4, vous pouvez également voir un diagramme en secteurs ainsi qu’un tableau qui vous fournissent des informations supplémentaires à propos de vos résultats. Le diagramme en secteurs affiche des informations au sujet du type de fichiers vulnérables trouvés, comme des documents ou des images. Le tableau vous renseigne sur chaque scénario, y compris le nom et le statut du scénario, sa description et le chemin d’accès vers les fichiers de test chiffrés. Vous pouvez également cliquer sur le lien Exporter en CSV situé dans le coin supérieur droit de la section Scénarios pour télécharger un fichier CSV contenant des informations au sujet de vos résultats RanSim.

C’est article vous a-t-il été utile?

Utilisateurs qui ont trouvé cela utile : 6 sur 9

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance