RanSim

Condividi

Questo articolo è utile?

Ultimo aggiornamento:

Manuale del prodotto RanSim

Ransomware Simulator (RanSim) è uno strumento che simula gli attacchi ransomware per verificare in che modo reagisce il tuo software di protezione degli endpoint in caso di un vero attacco ransomware. RanSim ti permette di capire se il tuo software di protezione degli endpoint è in grado di bloccare il ransomware o se crea dei falsi positivi. Puoi usare RanSim anche per vedere in che modo file specifici sarebbero interessati dal ransomware.

Se preferisci i tutorial video, guarda il video dedicato a RanSim.

Importante:per ottenere risultati accurati, quando utilizzi RanSim, il tuo software antivirus deve essere configurato e funzionare normalmente.

Prerequisiti

Per installare e avviare RanSim, è necessario che siano soddisfatti i seguenti requisiti:

  • Il computer deve utilizzare Microsoft Windows 10 64-bit o versione successiva.
  • Il computer deve avere come requisito minimo un processore dual core, 2 GB di RAM e 100 MB di spazio libero sull’hard disk.
  • Il computer deve essere in grado di connettersi a internet.
  • Sul computer deve essere stato installato .NET Framework 4.5.2, necessario per l’avvio dello strumento.
    Importante:se .NET Framework non è installato sul computer, questo software verrà installato automaticamente durante l’installazione di RanSim.
  • Per eseguire il nostro scenario ransomware RIPlacer, devi abilitare l’accesso controllato alle cartelle. Per ulteriori informazioni, leggi la sezione Abilitare l’accesso controllato alle cartelle di questo articolo.
Importante:per ottenere risultati accurati, ti consigliamo di installare RanSim su un computer che utilizzi gli stessi programmi e software di sicurezza dei computer degli utenti.

Installare RanSim

Dopo aver verificato che il computer soddisfi i prerequisiti indicati nella sezione Prerequisiti, è possibile installare RanSim.

Per installare RanSim, procedi come descritto di seguito:

  1. Apri la pagina knowbe4.com/ransomware-simulator nel browser.
  2. Compila i campi della sezione I want my RanSim download (Voglio scaricare RanSim).
  3. Fai clic su Get RanSim! (Scarica RanSim).
  4. Fai clic sul link Click Here To Download RanSim (Fai clic qui per scaricare RanSim). Facendo clic su questo link, sul computer verrà scaricato il file ransim.zip.
  5. Fai doppio clic sul file ransim.zip all’interno del file manager.
  6. Quindi fai doppio clic sul file SimulatorSetup.exe. Quando fai doppio clic su questo file, ti verrà chiesto di inserire una password.
  7. Per avviare l’installazione di RanSim sul computer, nel campo immetti la stringa “knowbe4”.

Al termine dell’installazione di RanSim, nella finestra KnowBe4 RanSim Setup (Configurazione di KnowBe4 RanSim) verrà visualizzato il messaggio “Installation Successfully Completed” (Installazione completata correttamente). Per informazioni su come avviare RanSim, leggi la sezione Avviare RanSim.

Importante: Affinchéffinché RanSim venga installato correttamente, deve essere possibile eseguire i file SimulatorSetup.exe, Ranstart.exe, MainStarter.exe e Collector.exe. Se il tuo prodotto antivirus o antimalware blocca l’esecuzione di questi file, dovrai configurare il prodotto in modo che la consenta. Tale configurazione varia a seconda del prodotto antivirus o antimalware utilizzato. Se uno di questi file viene messo in quarantena e non viene visualizzato un messaggio di avviso per consentire l’esecuzione del file, dovrai ripristinare il file dalla quarantena e ripetere i passaggi precedenti. Per ulteriori informazioni, leggi la sezione Software antivirus dell’articolo Domande frequenti (FAQ) su RanSim.

Abilitare l’accesso controllato alle cartelle

Per eseguire lo scenario ransomware RIPlacer, è necessario abilitare l’accesso controllato alle cartelle Microsoft sul computer.

Per informazioni su come abilitare l’accesso controllato alle cartelle manualmente o tramite i Criteri di gruppo, fai clic sui link in basso:

Abilitare manualmente l’accesso controllato alle cartelle

Per abilitare manualmente l’accesso controllato alle cartelle, procedi come descritto di seguito:

  1. Fai clic sul pulsante Windows e inserisci “Protezione Ransomware” nella barra di ricerca.
  2. Attiva l’opzione Accesso controllato alle cartelle.
  3. Nella sezione Cartelle protette, aggiungi i percorsi delle seguenti cartelle:
    • c:\KB4\Newsim\DataDir\MainTests\8-Files
    • c:\KB4\Newsim\DataDir\MainTests\12-Files
    • c:\KB4\Newsim\DataDir\MainTests\16-Files
  4. Torna alla schermata Protezione ransomware e fai clic sul link Consenti un’app tramite accesso controllato alle cartelle.
  5. Aggiungi le seguenti applicazioni all’elenco dei permessi:
    • c:\windows\system32\cmd.exe
    • c:\windows\system32\notepad.exe
    • c:\KB4\Newsim\MainStarter.exe

Abilitare l’accesso controllato alle cartelle tramite i Criteri di gruppo

Per abilitare l’accesso controllato alle cartelle tramite i Criteri di gruppo, procedi come descritto di seguito:

  1. Apri la Console Gestione Criteri di gruppo.
  2. Fai clic con il tasto destro del mouse sull’oggetto Criteri di gruppo che desideri configurare e fai clic su Modifica.
  3. Nell’Editor Gestione Criteri di gruppo, vai su Configurazione computer.
  4. Clicca su Criteri, quindi fai clic su Modelli amministrativi.
  5. Espandi l’albero delle directory fino a Componenti Windows > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Accesso controllato alle cartelle.
  6. Fai doppio clic sull’impostazione Configura accesso controllato alle cartelle, quindi fai clic su Abilitato.
  7. Imposta la funzionalità Protezione cartelle personali su Monitoraggio.
  8. Configura le cartelle protette e le applicazioni consentite. Queste sono indicate nei passaggi 3, 4 e 5 della sezione Abilitare manualmente l’accesso controllato alle cartelle in alto.

Avviare RanSim

Per avviare RanSim, procedi come descritto di seguito:

  1. Nella finestra KnowBe4 RanSim Setup (Configurazione di KnowBe4 RanSim), fai clic su Launch (Avvia). In alternativa, fai doppio clic sull’icona KnowBe4 Ran Simulator sul computer.
  2. Nella finestra Welcome to KnowBe4 Ransim (Ti diamo il benvenuto a KnowBe4 Ransim), fai clic sul pulsante Check now (Verifica ora). Facendo clic su questo pulsante, RanSim inizierà a eseguire le simulazioni di ransomware sul tuo computer; queste includono 23 scenari di ransomware e due scenari falsi positivi. Per ulteriori informazioni su questi scenari ransomware e falsi positivi, leggi le sezioni Scenari ransomware e Scenari falsi positivi in basso.

Puoi visualizzare l’avanzamento degli scenari nella finestra KnowBe4 RanSim.

Al termine dell’esecuzione di tutti gli scenari RanSim, verranno visualizzati i risultati. Per ogni scenario puoi visualizzare i risultati; sono compresi gli scenari Vulnerable (Vulnerabile), Not Vulnerable (Non Vulnerabile) e Incorrectly Blocked (Bloccato erroneamente). Per ulteriori informazioni sulla visualizzazione e l’analisi dei risultati, leggi la sezione Analizzare i risultati di RanSim.

Suggerimento:per eseguire altri scenari, puoi fare clic sul pulsante Check now (Verifica ora). Dopo aver eseguito i primi scenari, puoi aggiungere i tuoi file di prova alla cartella dei file di prova. RanSim eseguirà quindi dei test per verificare se questi file sono vulnerabili agli attacchi ransomware.

Opzioni sulla lingua

Per impostazione predefinita, la lingua di visualizzazione di RanSim sarà English (United States) (Inglese (Stati Uniti)). Tuttavia, puoi anche selezionare Spanish (Spain) (Spagnolo (Spagna)) o French (France) (Francese (Francia)).

Per cambiare le impostazioni della lingua, fai clic sul link della lingua corrente nell’angolo in basso a destra del client. Facendo clic, si aprirà la finestra Display Language (Lingua di visualizzazione) nella quale potrai selezionare una lingua nel menu a discesa.

Scenari ransomware

All’avvio, RanSim esegue sul tuo computer 23 scenari di ransomware. Per ulteriori informazioni su ogni scenario, consulta la tabella in basso.

Nota:per ulteriori informazioni sui due scenari falsi positivi che RanSim eseguirà sul tuo computer, leggi la sezione Scenari falsi positivi.

BlackKingdomVariant

Questo scenario simula un ransomware scritto in Python. Questo tipo di ransomware utilizza elementi di codice identici a quelli condivisi sui forum di sviluppo. Questo tipo di ransomware utilizza anche codice inutilizzato o obsoleto.

Esempio: Black Kingdom o GAmmAWare

Collaborator

Questo scenario simula un ransomware che utilizza più processi per crittografare i file. In questo scenario, il codice eseguibile invoca altri processi per enumerare i file di prova. Quindi, i file originali vengono crittografati, spostati ed eliminati.

Esempio: al momento non esistono esempi di questo scenario. Tuttavia, il tuo software di protezione degli endpoint deve essere in grado di rilevare e bloccare questo tipo di attacco.

CritroniVariant

Questo scenario simula un ransomware che crittografa i file utilizzando uno schema di attacco non comune.

Esempio: Critroni o CBT

DearCryVariant

Questo scenario simula un ransomware che crittografa i file copiandoli e poi eliminando i file originali. Il metodo di crittografia utilizzato in questo scenario non ha bisogno di contattare il server di comando e controllo del malintenzionato per crittografare i file.

Esempio: DearCry

DjVuVariant

Questo scenario simula i metodi utilizzati dal ransomware DjVu. Tipicamente utilizzato per attaccare le grandi organizzazioni, DjVu applica la crittografia a una copie dei file presi di mira ed elimina i file originali.

Esempio: DjVu

HollowInjector

Questo scenario simula un ransomware che utilizza il process hollowing per iniettare codice dannoso in un processo legittimo.

Esempio: Jaff o GandCrab

Injector

Questo scenario simula un ransomware che crittografa i file iniettando codice dannoso in un processo legittimo. Questo tipo di ransomware inietta il codice utilizzando un metodo comune, come l’iniezione di librerie di link dinamici (DLL).

Esempio: GandCrab

InsideCryptor

Questo scenario simula un ransomware che crittografa i file e aggiunge i dati crittografati al file originale.

Esempio: PClock

LockyVariant

Questo scenario simula una variante del ransomware Locky. Questo scenario simula solo il metodo utilizzato dal ransomware Locky per infettare i file, non il suo algoritmo di crittografia.

Esempio: Locky

MazeVariant

Questo scenario simula i metodi utilizzati dal ransomware Maze.

Esempio: Maze

Mover

Questo scenario simula un ransomware che crittografa i file e li sposta in una cartella secondaria della cartella originale.

Esempio: Alpha

PaymerVariant

Questo scenario simula i metodi utilizzati da ransomware come DoppelPaymer.

Esempio: DoppelPaymer

PhobosVariant

Questo scenario simula i metodi utilizzati dal ransomware Phobos. Tipicamente utilizzato per attaccare piccole organizzazioni, Phobos crittografa una copia dei file presi di mira ed elimina i file originali.

Esempio: Phobos

ReflectiveInjector

Questo scenario simula un ransomware che utilizza un metodo avanzato per iniettare il codice di crittografia in un processo legittimo.

Esempio: Chimera o Rokku

Replacer

Questo scenario simula un attacco eseguito da un ransomware che sovrascrive il contenuto di file con estensioni specifiche, come .docx o .pdf. Il contenuto viene sostituito con un contenuto diverso che presenta lo stesso formato del file originale. Dopo la sostituzione, agli utenti viene chiesto di pagare un riscatto per ripristinare il contenuto originale dei file.

Esempio: DirCrypt

RigSimulator

Questo scenario simula il cryptomining, ovvero l’estrazione di criptovalute utilizzando la CPU di un computer.

Esempio: XMRig

RIPlacer

Questo scenario verifica se i computer protetti da Accesso controllato alle cartelle Microsoft sono vulnerabili.

Esempio: al momento non esistono esempi di questo scenario. Tuttavia, il tuo software di protezione degli endpoint deve essere in grado di rilevare e bloccare questo tipo di attacco.

SlowCryptor

Questo scenario simula un ransomware che crittografa i file lentamente per evitare di essere rilevato.

Esempio: varianti di FCrypt

Streamer

Questo scenario simula un ransomware che crittografa più file e sposta i dati criptati in un unico file.

Esempio: Bart

StrongCryptor

Questo scenario simula un attacco eseguito dalla maggior parte dei tipi di ransomware. Per ogni file di prova, RanSim crea un nuovo file che contiene il contenuto crittografato del file di prova. Successivamente, RanSim sostituisce il contenuto del file di prova originale ed elimina il file utilizzato per il processo.

La crittografia viene eseguita con AES.

Esempio: varianti di CryptoLocker senza comunicazione di rete

StrongCryptorFast

Questo scenario simula un attacco eseguito da diversi tipi di ransomware. Per ogni file di prova, RanSim crea un nuovo file che contiene il contenuto crittografato del file di prova originale. Successivamente, RanSim elimina tutti i file di prova originali e lascia solo le rispettive versioni crittografate.

La crittografia viene eseguita con AES.

Esempio: CryptoLocker

StrongCryptorNet

Questo scenario simula un attacco eseguito da diversi tipi di ransomware. Per ogni file di prova, RanSim crea un nuovo file di prova che contiene il contenuto crittografato del file di prova originale. Successivamente, RanSim elimina il file di prova originale.

La crittografia viene eseguita con AES. In questo scenario, RanSim tenta anche di creare una connessione HTTP all’indirizzo IP 127.0.0.1 sulla porta 23054 per inviare la chiave di crittografia.

Esempio: variante di CryptoLocker con comunicazione con il server di comando e controllo

ThorVariant

Questo scenario simula una variante del ransomware Thor. Questo scenario simula solo il metodo utilizzato dal ransomware Thor per infettare i file, non il suo algoritmo di crittografia.

Esempio: Thor

VirlockVariant

Questo scenario simula un ransomware complesso. Questo scenario si basa su un processo “watchdog” che attende l’avvio di un altro scenario. Se l’altro scenario viene bloccato, questo scenario lo ricrea e lo riavvia.

Esempio: Virlock

WeakCryptor

Questo scenario simula un attacco che utilizza un tipo di crittografia debole. Per ogni file di prova, RanSim crea un nuovo file di prova che contiene il contenuto crittografato del file di prova originale. Successivamente, RanSim elimina il file di prova originale.

In questo scenario, la crittografia viene simulata comprimendo il contenuto del file originale con GZip. Quindi, il primo byte del risultato, 0x1F, viene sostituito con 0x00.

Esempio: TeleCrypt

Scenari falsi positivi

Oltre ai 23 scenari ransomware, RanSim esegue sul computer anche due scenari falsi positivi. I falsi positivi sono file o programmi che vengono erroneamente etichettati come dannosi e bloccati dal software di protezione degli endpoint.

I due scenari falsi positivi di RanSim sono chiamati Archiver e Remover. Se uno di questi scenari viene bloccato dal software di protezione degli endpoint, il numero di risultati Incorrectly Blocked (Bloccato erroneamente) di RanSim aumenterà. Per ulteriori informazioni sulla visualizzazione dei risultati, leggi la sezione Analizzare i risultati di RanSim.

Se gli scenari falsi positivi sono bloccati, i risultati di RanSim potrebbero non rappresentare una misurazione accurata dell’efficacia del software di protezione degli endpoint.

Importante:purtroppo è impossibile impedire al software di protezione degli endpoint di bloccare gli scenari falsi positivi.

Analizzare i risultati di RanSim

Al termine dell’esecuzione di tutti gli scenari ransomware e falsi positivi da parte di RanSim, puoi visualizzare i risultati nella finestra KnowBe4 RanSim.

Nei riquadri Vulnerable (Vulnerabile), Not Vulnerable (Non Vulnerabile) e Incorrectly Blocked (Bloccato erroneamente) nell’angolo in alto a sinistra della finestra, puoi visualizzare il numero di scenari per ogni stato. Idealmente, i risultati saranno: Vulnerable (Vulnerabili): 0/23 scenari, Not Vulnerable (Non Vulnerabili): 23/23 scenari e Incorrectly Blocked (Bloccati erroneamente): 0/2 scenari.

Nella finestra KnowBe4 RanSimsono inoltre presenti un grafico a torta e una tabella con ulteriori informazioni sui risultati ottenuti. Il grafico a torta mostra informazioni sul tipo di file vulnerabili rilevati, ad esempio documenti o immagini. La tabella riporta informazioni su ogni scenario, tra cui il nome e lo stato dello scenario, una descrizione dello scenario e il percorso dei file di prova crittografati. Puoi anche fare clic sul link Esporta in CSV nell’angolo in alto a destra della sezione Scenari per scaricare un file CSV. Questo file CSV contiene informazioni sui risultati di RanSim.

Questo articolo è stato utile?

Utenti che ritengono sia utile: 6 su 9

Non trovi quello che stai cercando?

Contatta l’assistenza