RanSim

Partager

Cet article est-il utile ?

Dernière mise à jour :

Manuel de produit RanSim

Ransomware Simulator (RanSim) est un outil de simulation des attaques par rançongiciel. Il permet de voir la réaction de votre logiciel de protection de terminal en cas de véritable attaque. RanSim permet de voir si votre logiciel de protection de terminal bloquerait les rançongiciels ou s’il créerait des faux positifs. Vous pouvez également utiliser RanSim pour voir comment certains fichiers spécifiques seraient impactés par le rançongiciel.

Si vous préférez les tutoriels vidéo, vous pouvez également regarder notre vidéo RanSim.

Important : pour plus de précisions, votre logiciel antivirus doit être configuré et doit fonctionner normalement lorsque vous utilisez RanSim.

Prérequis

Pour installer et lancer RanSim, vous devez satisfaire les exigences ci-dessous :

  • Votre ordinateur doit exécuter Microsoft Windows 10 version 64 bits ou une version plus récente.
  • Votre ordinateur doit avoir au moins 2 cœurs de processeur, 2 Go de RAM et 100 Mo d’espace libre sur le disque dur.
  • Votre ordinateur doit pouvoir se connecter à Internet.
  • Votre ordinateur doit disposer de .NET Framework 4.5.2 pour lancer l’outil.
    Important :si votre ordinateur n’utilise pas cette structure, elle sera automatiquement installée avec RanSim.
  • Pour exécuter notre scénario de rançongiciel RIPlacer, vous devez activer l’accès contrôlé aux dossiers. Pour en savoir plus, consultez la section Activation de l’accès contrôlé aux dossiers de cet article.
Important : pour des résultats précis, installez RanSim sur un ordinateur qui utilise les mêmes programmes et logiciels de sécurité que les ordinateurs de vos utilisateurs.

Installation de RanSim

Après avoir vérifié que votre ordinateur dispose de la configuration requise indiquée dans la section Prérequis ci-dessus, vous êtes prêt à installer RanSim.

Pour installer RanSim, procédez comme suit :

  1. Accédez à knowbe4.com/ransomware-simulator dans votre navigateur.
  2. Complétez les champs du formulaire I want my RanSim download (Je souhaite télécharger Ransim).
  3. Cliquez sur Get Ransim! (Obtenir RanSim !).
  4. Cliquez sur le lien Cliquez ici pour télécharger RanSim. Lorsque vous cliquez sur ce lien, le fichier ransim.zip se télécharge sur votre ordinateur.
  5. Double-cliquez sur le fichier ransim.zip dans votre gestionnaire de fichiers.
  6. Double-cliquez ensuite sur le fichier SimulatorSetup.exe. Lorsque vous double-cliquez sur ce fichier, vous êtes invité à saisir un mot de passe.
  7. Saisissez « knowbe4 » dans le champ pour lancer l’installation de RanSim sur votre ordinateur.

Une fois l’installation de RanSim terminée, un message « Installation terminée avec succès » s’affiche dans la fenêtre Configuration de RanSim de KnowBe4. Pour savoir comment lancer RanSim, consultez la section Lancement de RanSim ci-dessous.

Important : pour installer correctement RanSim, les fichiers SimulatorSetup.exe, Ranstart.exe, MainStarter.exe et Collector.exe doivent pouvoir s'exécuter. Si votre antivirus ou antimalware bloque ces fichiers, vous devrez le configurer pour qu’il puisse les exécuter. La procédure dépendra de l’antivirus ou antimalware que vous utilisez. Si un de ces fichiers est placé en quarantaine et que vous n’avez pas reçu de message d’avertissement pour autoriser l'exécution du fichier, vous devrez restaurer le fichier en quarantaine et répéter les étapes ci-dessus. Pour de plus amples informations, consultez la section Logiciel antivirus de notre article Foire aux questions (FAQ) concernant RanSim.

Activation de l’accès contrôlé aux dossiers

Pour exécuter le scénario de rançongiciel RIPlacer, l’accès contrôlé aux dossiers de Microsoft doit être activé sur votre ordinateur.

Pour savoir comment activer l’accès contrôlé aux dossiers manuellement ou via la stratégie de groupe, cliquez sur les liens ci-dessous :

Activer l’accès contrôlé aux dossiers manuellement

Pour activer l’accès contrôlé aux dossiers manuellement, procédez comme suit :

  1. Cliquez sur le bouton Windows et saisissez « Protection contre les ransomware » dans la barre de recherche.
  2. Activez l’option Dispositif d’accès contrôlé aux dossiers.
  3. Ajoutez les chemins d’accès aux dossiers suivants dans la section Dossiers protégés :
    • c:\KB4\Newsim\DataDir\MainTests\8-Files
    • c:\KB4\Newsim\DataDir\MainTests\12-Files
    • c:\KB4\Newsim\DataDir\MainTests\16-Files
  4. Retournez à l’écran Protection contre les ransomware et cliquez sur le lien Autoriser une app via un dispositif d’accès contrôlé aux dossiers.
  5. Ajoutez les applications suivantes à la liste des applications autorisées :
    • c:\windows\system32\cmd.exe
    • c:\windows\system32\notepad.exe
    • c:\KB4\Newsim\MainStarter.exe

Activer l’accès contrôlé aux dossiers via la stratégie de groupe

Pour activer l’accès contrôlé aux dossiers via la stratégie de groupe, procédez comme suit :

  1. Ouvrez votre Console de gestion des stratégies de groupe.
  2. Cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous souhaitez configurer, puis cliquez sur Modifier.
  3. Dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur.
  4. Cliquez sur Stratégies, puis sur Modèles d’administration.
  5. Développez l’arborescence de répertoires de Composants Windows > Antivirus Microsoft Defender > Microsoft Defender Exploit Guard > Accès contrôlé aux dossiers.
  6. Double-cliquez sur le paramètre Configurer l’accès contrôlé aux dossiers, puis cliquez sur Activé.
  7. Définissez le paramètre Fonctionnalité Garder mes dossiers sur Surveiller.
  8. Configurez les dossiers protégés et les applications autorisées. Ces informations sont disponibles dans les étapes 3, 4 et 5 de la sous-section Activer l’accès contrôlé aux dossiers manuellement ci-dessus.

Lancement de RanSim

Pour lancer RanSim, procédez comme suit :

  1. Dans la fenêtre Configuration de RanSim de KnowBe4, cliquez sur Lancer. Ou double-cliquez sur l’icône Ransomware Simulator de KnowBe4 sur votre ordinateur.
  2. Dans la fenêtre Bienvenue dans RanSim de KnowBe4, cliquez sur le bouton Vérifier maintenant. Lorsque vous cliquez sur ce bouton, RanSim commence à exécuter les simulations de rançongiciel sur votre ordinateur, dont 23 scénarios de rançongiciels et deux scénarios de faux positifs. Pour en savoir plus sur les scénarios de rançongiciels et de faux positifs, consultez les sections Scénarios de rançongiciels et Scénarios de faux positifs ci-dessous.

Vous pouvez afficher la progression des scénarios dans la fenêtre RanSim de KnowBe4.

Une fois que RanSim a exécuté tous les scénarios, vos résultats s’affichent. Vous pouvez afficher les résultats de chaque scénario, y compris les scénarios Vulnérable, Non Vulnérable et Bloqué par erreur. Pour en savoir plus sur l’affichage et l’analyse de vos résultats, consultez la section Analyse de vos résultats RanSim ci-dessous.

Conseil : vous pouvez cliquer à nouveau sur le bouton Vérifier maintenant pour exécuter de nouveaux scénarios. Après avoir exécuté vos premiers scénarios, vous avez également la possibilité d’ajouter vos propres fichiers de test au dossier des fichiers de test. RanSim exécutera ensuite les tests pour voir si ces fichiers seraient vulnérables à des attaques par rançongiciel.

Options de langue

Par défaut,la langue d’affichage de RanSim est définie sur Anglais (États-Unis). Vous pouvez cependant également choisir entre Espagnol (Espagne) ou Français (France).

Pour modifier vos paramètres de langue, cliquez sur le lien correspondant à la langue actuelle dans l’angle inférieur droit du client. Une fois que vous avez cliqué sur ce lien, la fenêtre modale Langue d’affichage s’ouvre et vous permet de sélectionner une langue dans le menu déroulant.

Scénarios de rançongiciels

Une fois lancé, RanSim exécute 23 scénarios de rançongiciels sur votre ordinateur. Pour en savoir plus sur chaque scénario, consultez le tableau ci-dessous :

Remarque : pour en savoir plus sur les deux scénarios de faux positifs que RanSim exécute sur votre ordinateur, consultez la section Scénarios de faux positifs ci-dessous.

BlackKingdomVariant

Ce scénario simule un rançongiciel qui semble avoir été écrit en Python. Ce type de rançongiciel utilise des éléments de code identiques au code partagé sur les forums de développement, ainsi que du code inutilisé ou orphelin.

Exemple : Black Kingdom ou GAmmAWare

Collaborator

Ce scénario simule un rançongiciel qui utilise plusieurs processus de chiffrement des fichiers. Dans ce scénario, le code exécutable appelle d’autres processus pour énumérer les fichiers de test. Les fichiers d’origine sont ensuite chiffrés, déplacés et supprimés.

Exemple : il n’y a actuellement aucun exemple dans ce scénario. Toutefois, votre logiciel de protection de terminal doit être prêt à détecter et arrêter ce type d’attaque.

CritroniVariant

Ce scénario simule un rançongiciel qui chiffre des fichiers en utilisant un modèle d’attaque peu commun.

Exemple : Critroni ou CBT

DearCryVariant

Ce scénario simule un rançongiciel qui chiffre des fichiers en les copiant, puis en supprimant les fichiers d’origine. La méthode de chiffrement utilisée dans ce scénario permet de ne pas avoir à contacter le serveur C&C (commande et contrôle) du pirate pour chiffrer les fichiers.

Exemple : DearCry

DjVuVariant

Ce scénario simule les méthodes utilisées par le rançongiciel DjVu. Généralement utilisé pour cibler de grandes organisations, DjVu chiffre des copies des fichiers ciblés et supprime les fichiers originaux.

Exemple : DjVu

HollowInjector

Ce scénario simule un rançongiciel qui utilise le process hollowing pour injecter du code malveillant dans un processus légitime.

Exemple : Jaff ou GandCrab

Injector

Ce scénario simule un rançongiciel qui chiffre des fichiers en injectant du code malveillant dans un processus légitime. Ce type de rançongiciel injecte du code en utilisant une méthode courante, telle que l’injection Dynamic Link Library (DLL).

Exemple : GandCrab

InsideCryptor

Ce scénario simule un rançongiciel qui chiffre des fichiers et ajoute les données chiffrées au fichier d’origine.

Exemple : PClock

LockyVariant

Ce scénario simule une variante du rançongiciel Locky. Ce scénario simule uniquement la méthode que Locky utilise pour infecter les fichiers, et non son algorithme de chiffrement.

Exemple : Locky

MazeVariant

Ce scénario simule les méthodes utilisées par le rançongiciel Maze.

Exemple : Maze

Mover

Ce scénario simule un rançongiciel qui chiffre des fichiers et les déplace vers un sous-dossier du dossier d’origine.

Exemple : Alpha

PaymerVariant

Ce scénario simule les méthodes utilisées par un rançongiciel tel que DoppelPaymer.

Exemple : DoppelPaymer

PhobosVariant

Ce scénario simule les méthodes utilisées par le rançongiciel Phobos. Généralement utilisé pour cibler de petites organisations, Phobos chiffre des copies des fichiers ciblés et supprime les fichiers originaux.

Exemple : Phobos

ReflectiveInjector

Ce scénario simule un rançongiciel qui utilise une méthode avancée pour injecter un code de chiffrement dans un processus légitime.

Exemple : Chimera ou Rokku

Replacer

Ce scénario simule une attaque réalisée par un rançongiciel qui remplace le contenu de fichiers ayant des extensions spécifiques, telles que .docx ou .pdf. Le contenu est remplacé par un contenu au même format que celui du fichier d’origine. Une fois le contenu remplacé, les utilisateurs doivent payer une rançon pour restaurer le contenu des fichiers d’origine.

Exemple : DirCrypt

RigSimulator

Ce scénario simule le crypto-minage, qui permet de miner les crypto-monnaies en utilisant le processeur d’un ordinateur.

Exemple : XMRig

RIPlacer

Ce scénario vérifie si les machines protégées par l’accès contrôlé aux dossiers de Microsoft sont vulnérables aux attaques.

Exemple : il n’y a actuellement aucun exemple dans ce scénario. Toutefois, votre logiciel de protection de terminal doit être prêt à détecter et arrêter ce type d’attaque.

SlowCryptor

Ce scénario simule un rançongiciel qui chiffre des fichiers lentement pour éviter d’être détecté.

Exemple : FCrypt variant

Streamer

Ce scénario simule un rançongiciel qui chiffre plusieurs fichiers et déplace les données chiffrées vers un seul fichier.

Exemple : Bart

StrongCryptor

Ce scénario simule une attaque réalisée par la plupart des types de rançongiciels. Pour chaque fichier de test, RanSim crée un nouveau fichier qui contient le contenu chiffré du fichier de test. RanSim remplace ensuite le contenu du fichier de test d’origine, puis supprime ce fichier.

AES réalise le chiffrement.

Exemple : Variante de CryptoLocker sans communication nette

StrongCryptorFast

Ce scénario simule une attaque réalisée par de nombreux types de rançongiciels. Pour chaque fichier de test, RanSim crée un nouveau fichier qui contient le contenu chiffré du fichier de test d’origine. RanSim supprime ensuite tous les fichiers de test d’origine, afin de conserver uniquement les versions chiffrées des fichiers de test.

AES réalise le chiffrement.

Exemple : CryptoLocker

StrongCryptorNet

Ce scénario simule une attaque réalisée par de nombreux types de rançongiciels. Pour chaque fichier de test, RanSim crée un nouveau fichier de test qui contient le contenu chiffré du fichier de test d’origine. RanSim supprime ensuite le fichier de test d’origine.

AES réalise le chiffrement. Dans ce scénario, RanSim tente également de créer une connexion HTTP à l’adresse IP 127.0.0.1 sur le port 23054 pour envoyer la clé de chiffrement.

Exemple : variante de CryptoLocker avec communication du serveur C&C

ThorVariant

Ce scénario simule une variante du rançongiciel Thor. Ce scénario simule uniquement la méthode que Thor utilise pour infecter les fichiers, et non son algorithme de chiffrement.

Exemple : Thor

VirlockVariant

Ce scénario simule un rançongiciel complexe. Il repose sur un processus de surveillance qui attend qu’un autre scénario soit démarré en premier. Si l’autre scénario est bloqué, celui-ci va le recréer et le redémarrer.

Exemple : Virlock

WeakCryptor

Ce scénario simule une attaque réalisée à l’aide d’un type de chiffrement faible. Pour chaque fichier de test, RanSim crée un nouveau fichier de test qui contient le contenu chiffré du fichier de test d’origine. RanSim supprime ensuite le fichier de test d’origine.

Dans ce scénario, le chiffrement est simulé en compressant le contenu du fichier d’origine à l’aide de GZip. Le premier octet obtenu, 0x1F, est ensuite remplacé par 0x00.

Exemple : TeleCrypt

Scénarios de faux positifs

En plus des 23 scénarios de rançongiciels, RanSim exécute également deux scénarios de faux positifs sur votre ordinateur. Les faux positifs sont des fichiers ou des programmes qui sont considérés, à tort, comme malveillants, et bloqués par votre logiciel de protection de terminal.

Les deux scénarios de faux positifs de RanSim sont appelés Archiver et Remover. Si l’un de ces scénarios est bloqué par votre logiciel de protection de terminal, vos résultats Bloqué par erreur dans RanSim augmenteront. Pour en savoir plus sur l’affichage des résultats, consultez la section Analyse de vos résultats RanSim ci-dessous.

Si les scénarios de faux positifs sont bloqués, vos résultats RanSim n’indiqueront peut-être pas une mesure précise de l’efficacité de votre logiciel de protection de terminal.

Important :nous ne pouvons malheureusement pas empêcher votre logiciel de protection de terminal de bloquer les scénarios de faux positifs.

Analyse de vos résultats RanSim

Lorsque RanSim a terminé d’exécuter tous les scénarios de rançongiciels et de faux positifs, vous pouvez afficher vos résultats dans la fenêtre RanSim de KnowBe4.

Dans les cases Vulnérable, Non vulnérable et Bloqué par erreur en haut à gauche de la fenêtre, vous pouvez voir le nombre de scénarios dans chaque statut. Le résultat idéal est : 0/23 scénarios au statut Vulnérable, 23/23 scénarios au statut Non vulnérable et 0/2 scénarios au statut Bloqué par erreur.

Dans la fenêtre RanSim de KnowBe4, vous pouvez également voir un graphique circulaire et un tableau contenant davantage d’informations sur vos résultats. Le graphique circulaire affiche des informations sur le type de fichiers vulnérables trouvés (documents ou images par exemple). Le tableau affiche des informations sur chaque scénario : nom et statut du scénario, description du scénario et chemin d’accès aux fichiers de test chiffrés, entre autres. Vous pouvez également cliquer sur le lienExporter au format CSV en haut à droite de la section Scénarios pour télécharger un fichier CSV. Le fichier CSV contient des informations sur vos résultats RanSim.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 6 sur 9

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance