RanSim

Compartilhar

Este artigo é útil?

Última atualização:

Manual do produto RanSim

O Ransomware Simulator (RanSim) é uma ferramenta que simula ataques de ransomware para saber como o seu software de proteção de ponto de extremidade responde no caso de um ataque real de ransomware. Você pode usar o RanSim para ver se o seu software de proteção de ponto de extremidade bloqueia o ransomware ou se cria falsos positivos. O RanSim também pode ser usado para ver como determinados arquivos são afetados pelo ransomware.

Se preferir tutoriais em vídeo, assista também ao vídeo sobre o RanSim.

Importante: Para obter resultados precisos, seu programa antivírus deve estar configurado e funcionando normalmente ao usar o RanSim.

Pré-requisitos

Para instalar e iniciar o RanSim, você precisa atender aos seguintes requisitos:

  • Seu computador deve ter o Microsoft Windows 10 de 64 bits ou mais recente.
  • Seu computador deve ter pelo menos dois núcleos de processador, 2 GB de RAM e 100 MB de espaço livre em HDD.
  • Seu computador deve ter acesso à Internet.
  • Seu computador precisa ter o .NET Framework 4.5.2 instalado para iniciar a ferramenta.
    Importante: No entanto, se o seu computador não usar essa estrutura, ela será instalada automaticamente quando você instalar o RanSim.
  • Para executar nosso cenário de ransomware do RIPlacer, habilite o acesso controlado a pastas. Para obter mais informações, consulte a seção Habilitando o acesso controlado a pastas deste artigo.
Importante: Para resultados precisos, recomendamos instalar o RanSim em um computador que use os mesmos programas e o software de segurança dos computadores dos seus usuários.

Instalando o RanSim

Depois de verificar se o seu computador atende aos pré-requisitos na seção Pré-requisitos acima, você estará com tudo pronto para instalar o RanSim.

Para instalar o RanSim, siga estas etapas:

  1. Acesse knowbe4.com/ransomware-simulator no seu navegador.
  2. Preencha os campos no formulário I want my RanSim download.
  3. Clique em Get RanSim!.
  4. Clique no link Click Here To Download RanSim. Ao clicar nesse link, o arquivo ransim.zip será baixado para o seu computador.
  5. Clique duas vezes no arquivo ransim.zip no seu gerenciador de arquivos.
  6. Depois, clique duas vezes no arquivo SimulatorSetup.exe. Ao clicar duas vezes nesse arquivo, você será solicitado a inserir uma senha.
  7. Insira “knowbe4” no campo para iniciar a instalação do RanSim no computador.

Depois que a instalação do RanSim terminar, a mensagem “Installation Successfully Completed” aparecerá na janela KnowBe4 RanSim Setup. Para saber como iniciar o RanSim, consulte a seção Iniciando o RanSim, abaixo.

Importante: Para que o RanSim seja instalado com êxito, os arquivos SimularorSetup.exe, Ranstart.exe, MainRunner.exe e Collector.exe devem poder ser executados. Se o seu produto de antivírus ou antimalware estiver bloqueando esses arquivos, você precisará configurar o produto para autorizá-los. Esse processo variará dependendo do produto de antivírus ou antimalware que você estiver usando. Se algum desses arquivos estiver em quarentena e você não viu um lembrete de aviso para permitir que o arquivo seja executado, será necessário restaurar o arquivo da quarentena e repetir as etapas acima. Para mais informações, veja a seção Programa antivírus de nosso artigo Perguntas frequentes (FAQs) do RanSim.

Habilitando o acesso controlado a pastas

Para executar o cenário de ransomware do RIPlacer, o acesso controlado a pastas da Microsoft deve estar habilitado no seu computador.

Para saber como habilitar manualmente o acesso controlado a pastas, ou usando a política de grupo, clique nos links abaixo:

Habilitar manualmente o acesso controlado a pastas

Para habilitar manualmente o acesso controlado a pastas, siga estas etapas:

  1. Clique no botão do Windows e insira “Proteção contra ransomware” na barra de pesquisa.
  2. Ative a opção Acesso controlado a pastas.
  3. Adicione os seguintes caminhos de pasta à seção Pastas protegidas:
    • c:\KB4\Newsim\DataDir\MainTests\8-Files
    • c:\KB4\Newsim\DataDir\MainTests\12-Files
    • c:\KB4\Newsim\DataDir\MainTests\16-Files
  4. Volte à tela Proteção contra ransomware e clique no link Permitir um aplicativo pelo acesso controlado a pastas.
  5. Adicione os seguintes aplicativos à lista de permissões:
    • c:\windows\system32\cmd.exe
    • c:\windows\system32\notepad.exe
    • c:\KB4\Newsim\MainStarter.exe

Habilitar o acesso controlado a pastas usando a política de grupo

Para habilitar o acesso controlado a pastas usando a política de grupo, siga estas etapas:

  1. Abra o Console de gerenciamento de política de grupo.
  2. Clique com o botão direito no Objeto de política de grupo que deseja configurar e clique em Editar.
  3. No Editor de gerenciamento de política de grupo, acesse Configuração do computador.
  4. Clique em Políticas e, depois, em Modelos administrativos.
  5. Expanda a árvore de diretórios para Componentes do Windows > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Acesso controlado a pastas.
  6. Clique duas vezes na configuração Configurar acesso controlado a pastas e, depois, clique em Habilitado.
  7. Defina a configuração Proteger o recurso Minhas pastas como Monitorar.
  8. Configure as pastas protegidas e os aplicativos permitidos. Você pode localizar essas informações nas etapas 3, 4 e 5 da subseção Habilitar manualmente o acesso controlado a pastas, acima.

Iniciando o RanSim

Para iniciar o RanSim, siga estas etapas:

  1. Na janela KnowBe4 RanSim Setup, clique em Launch. Ou clique duas vezes no ícone KnowBe4 Ran Simulator no seu computador.
  2. Na janela Welcome to KnowBe4 RanSim, clique no botão Check now. Ao clicar nesse botão, o RanSim iniciará a execução das simulações de ransomware no seu computador, incluindo 23 cenários de ransomware e dois cenários com falso positivo. Para saber mais sobre esses cenários de ransomware e os cenários com falso positivo, consulte as seções Cenários de Ransomware e Cenários com falso positivo, abaixo.

Você pode exibir o progresso dos cenários na janela do KnowBe4 RanSim.

Depois que o RanSim executar todos os cenários, seus resultados serão exibidos. É possível exibir os resultados de cada cenário, incluindo os cenários Vulnerable, Not Vulnerable e Incorrectly Blocked. Para obter mais informações sobre como exibir e analisar seus resultados, consulte a seção Analisando os resultados do RanSim, abaixo.

Dica: Para executar cenários adicionais, clique no botão Check now novamente. Depois de executar seus primeiros cenários, você também tem a opção de adicionar seus próprios arquivos de teste na pasta de arquivos de teste. Depois, o RanSim executará os testes para ver se esses arquivos são vulneráveis aos ataques de ransomware.

Opções de idioma

Por padrão, o idioma de exibição do RanSim é definido como Inglês (Estados Unidos). No entanto, também é possível selecionar os idiomas Espanhol (Espanha) ou Francês (França).

Para alterar as configurações de idioma, clique no link do idioma atual, no canto inferior direito do cliente. Com isso, o modal Idioma de exibição será aberto para que você possa selecionar o idioma no menu suspenso.

Cenários de ransomware

Quando iniciado, o RanSim executará 23 cenários de ransomware no seu computador. Para saber mais sobre cada cenário, confira a tabela abaixo:

Observação: Para saber mais sobre os dois cenários com falso positivo que o RanSim executará no seu computador, consulte a seção Cenários com falso positivo, abaixo.

BlackKingdomVariant

Esse cenário simula um ransomware que parece ter sido escrito em Python. Esse tipo de ransomware usa elementos de códigos que são idênticos ao código compartilhado nos fóruns de desenvolvimento. Esse tipo de ransomware também usa código não utilizado ou desabilitado.

Exemplo: Black Kingdom ou GAmmAWare

Collaborator

Esse cenário simula um ransomware que usa vários processos para criptografar arquivos. Nele, o código executável chama outros processos para enumerar os arquivos de teste. Depois, os arquivos originais são criptografados, movidos e excluídos.

Exemplo: atualmente, não há exemplos desse cenário. No entanto, seu software de proteção de ponto de extremidade deve estar preparado para detectar e parar esse tipo de ataque.

CritroniVariant

Esse cenário simula um ransomware que criptografa arquivos usando um padrão de ataque incomum.

Exemplo: Critroni ou CBT

DearCryVariant

Esse cenário simula o ransomware que criptografa arquivos copiando-os e depois excluindo os arquivos originais. O método de criptografia usado nesse cenário não precisa contatar o servidor de controle e comando do invasor para criptografar arquivos.

Exemplo: DearCry

DjVuVariant

Esse cenário simula os métodos usados pelo ransomware DjVu. Usado normalmente para atacar grandes organizações, o DjVu criptografa cópias dos arquivos-alvo e exclui os arquivos originais.

Exemplo: DjVu

HollowInjector

Esse cenário simula o ransomware que usa o esvaziamento de processos para injetar código malicioso em um processo legítimo.

Exemplo: Jaff ou GandCrab

Injector

Esse cenário simula um ransomware que criptografa arquivos injetando código malicioso em um processo legítimo. Esse tipo de ransomware injeta o código usando um método comum, como a injeção da biblioteca de link dinâmico (Dynamic Link Library, DLL).

Exemplo: GandCrab

InsideCryptor

Esse cenário simula um ransomware que criptografa arquivos e adiciona os dados criptografados ao arquivo original.

Exemplo: PClock

LockyVariant

Esse cenário simula uma variante Locky do ransomware. Ele simula apenas o método Locky para infectar arquivos, não seu algoritmo de criptografia.

Exemplo: Locky

MazeVariant

Esse cenário simula os métodos usados pela variante Maze do ransomware.

Exemplo: Maze

Mover

Esse cenário simula um ransomware que criptografa arquivos e move-os para uma subpasta da pasta original.

Exemplo: Alpha

PaymerVariant

Esse cenário simula os métodos usados por um ransomware como DoppelPaymer.

Exemplo: DoppelPaymer

PhobosVariant

Esse cenário simula os métodos usados pela variante Maze do ransomware. Usado normalmente para atacar pequenas organizações, o Phobos criptografa cópias dos arquivos-alvo e exclui os arquivos originais.

Exemplo: Phobos

ReflectiveInjector

Esse cenário simula um ransomware que usa um método avançado para injetar código de criptografia em um processo legítimo.

Exemplo: Chimera ou Rokku

Replacer

Esse cenário simula um ataque executado por um ransomware que substitui o conteúdo dos arquivos que têm extensões específicas, como .docx ou .pdf. O conteúdo é substituído pelo conteúdo no mesmo formato do arquivo original. Depois que o conteúdo é substituído, os usuários são solicitados a pagar um resgate para restaurar o conteúdo nos arquivos originais.

Exemplo: DirCrypt

RigSimulator

Esse cenário simula a mineração de criptomoedas usando a CPU do computador.

Exemplo: XMRig

RIPlacer

Esse cenário testa se as máquinas que estão protegidas pelo acesso controlado a pastas da Microsoft estão vulneráveis a ataques.

Exemplo: atualmente, não há exemplos desse cenário. No entanto, seu software de proteção de ponto de extremidade deve estar preparado para detectar e parar esse tipo de ataque.

SlowCryptor

Esse cenário simula um ransomware que criptografa arquivos lentamente, para evitar a detecção.

Exemplo: variante FCrypt

Streamer

Esse cenário simula um ransomware que criptografa vários arquivos e move os dados criptografados para um único arquivo.

Exemplo: Bart

StrongCryptor

Esse cenário simula um ataque executado pela maioria dos tipos de ransomware. Para cada arquivo de teste, o RanSim cria um novo arquivo que contém o conteúdo criptografado no arquivo de teste. Depois, o RanSim substitui o conteúdo do arquivo de teste original e exclui esse arquivo.

A criptografia é executada usando o AES.

Exemplo: variante CryptoLocker sem comunicação de rede

StrongCryptorFast

Esse cenário simula um ataque executado por muitos tipos de ransomware. Para cada arquivo de teste, o RanSim cria um novo arquivo que contém o conteúdo criptografado do arquivo de teste original. Depois, o RanSim exclui todos os arquivos de teste originais para que permaneçam apenas as versões criptografas dos arquivos de teste.

A criptografia é executada usando o AES.

Exemplo: CryptoLocker

StrongCryptorNet

Esse cenário simula um ataque executado por muitos tipos de ransomware. Para cada arquivo de teste, o RanSim cria um novo arquivo de teste que contém o conteúdo criptografado do arquivo de teste original. Depois, o RanSim exclui o arquivo de teste original.

A criptografia é executada usando o AES. Nesse cenário, o RanSim também tenta criar uma conexão HTTP para o endereço IP 127.0.0.1, na porta 23054, para enviar a chave de criptografia.

Exemplo: variante CryptoLocker com comunicação do servidor de controle e comando

ThorVariant

Esse cenário simula uma variante Thor do ransomware. Ele simula apenas os métodos do Thor para infectar arquivos, não seu algoritmo de criptografia.

Exemplo: Thor

VirlockVariant

Esse cenário simula um ransomware complexo. Esse cenário conta com um processo de “watchdog”, que aguarda até que outro cenário seja iniciado primeiro. Depois, se o outro cenário for bloqueado, este cenário será recriado e reiniciado.

Exemplo: Virlock

WeakCryptor

Esse cenário simula um ataque executado usando um tipo fraco de criptografia. Para cada arquivo de teste, o RanSim cria um novo arquivo de teste que contém o conteúdo criptografado do arquivo de teste original. Depois, o RanSim exclui o arquivo de teste original.

Nesse cenário, a criptografia é simulada pela compactação do conteúdo do arquivo original usando o GZip. Depois, o primeiro byte do resultado, 0x1F, é substituído por 0x00.

Exemplo: TeleCrypt

Cenários com falso positivo

Além dos 23 cenários de ransomware, o RanSim também executa dois cenários com falso positivo no seu computador. Os falsos positivos são arquivos ou programas classificados incorretamente como maliciosos e bloqueados pelo seu software de proteção de ponto de extremidade.

Os cenários com falso positivo do RanSim são chamados de Archiver e Remover. Se um desses cenários for bloqueado pelo seu software de proteção de ponto de extremidade, os resultados de Incorrectly Blocked aumentarão no RanSim. Para obter mais informações sobre como exibir os resultados, consulte a seção Analisando os resultados do RanSim, abaixo.

Se os cenários com falso positivo forem bloqueados, seus resultados do RanSim poderão não medir precisamente a efetividade do software de proteção de ponto de extremidade.

Importante: Infelizmente, não podemos evitar que seu software de proteção de ponto de extremidade bloqueie os cenários com falso positivo.

Analisando os resultados do RanSim

Depois que o RanSim concluir a execução de todos os cenários de ransomware e falso positivo, você poderá exibir seus resultados na janela do KnowBe4 RanSim.

Nas caixas Vulnerable, Not Vulnerable e Incorrectly Blocked, no canto superior esquerdo da janela, você pode ver o número de cenários em cada status. Idealmente, seus resultados serão exibidos como 0/23 cenários Vulnerable, 23/23 cenários Not Vulnerable e 0/2 cenários Incorrectly Blocked.

Na janela do KnowBe4 RanSim, você também pode ver um gráfico circular e uma tabela com mais informações sobre seus resultados. O gráfico circular exibe informações sobre os tipos de arquivos vulneráveis encontrados, como documentos ou imagens. A tabela exibe informações sobre cada cenário, incluindo o nome e o status do cenário, uma descrição dele e o caminho dos arquivos de teste criptografados. Você pode também clicar no link Export to CSV no canto superior direito da seção Scenarios para baixar um arquivo CSV. Esse arquivo CSV contém informações sobre os resultados do RanSim.

Este artigo foi útil?

Usuários que acharam isso útil: 7 de 10

Não encontrou o que estava procurando?

Fale com o suporte