RanSim

Manual do produto RanSim

O RanSim é uma ferramenta que simula ataques de ransomware para saber como o seu software de proteção de ponto de extremidade responde no caso de um ataque real de ransomware. Você pode usar o RanSim para ver se o seu software de proteção de ponto de extremidade bloqueia o ransomware ou se cria falsos positivos. O RanSim também pode ser usado para ver como determinados arquivos são afetados pelo ransomware.

Clique nos links abaixo para aprender a instalar e iniciar o RanSim, além de exibir seus resultados. Se preferir tutoriais em vídeo, assista também ao vídeo sobre o RanSim.

Observação:Para obter resultados precisos, seu programa antivírus deve estar configurado e funcionando normalmente ao usar o RanSim.

Acesse:

Pré-requisitos

Instalando o RanSim

Habilitando o acesso controlado a pastas

Iniciando o RanSim

Cenários de ransomware

     Cenários com falso positivo

Analisando os resultados do RanSim

Pré-requisitos

Para instalar e iniciar o RanSim, você precisa atender aos seguintes requisitos:

  • Seu computador deve ter o Microsoft Windows 7 ou mais recente.
  • Seu computador deve ter pelo menos dois núcleos de processador, 2 GB de RAM e 100 MB de espaço livre de HDD.
  • Seu computador deve ter acesso à Internet. 
  • Seu computador precisa ter o .NET Framework 4.5.2 instalado para iniciar a ferramenta.
    Observação:No entanto, se o seu computador não usar essa estrutura, ela será instalada automaticamente quando você instalar o RanSim.
  • Para executar nosso cenário de ransomware do RIPlacer, habilite o acesso controlado a pastas. Para obter mais informações, consulte a seção Habilitando o acesso controlado a pastas deste artigo.
Observação:Para resultados precisos, recomendamos instalar o RanSim em um computador que use os mesmos programas e o software de segurança dos computadores dos seus usuários.

Instalando o RanSim

Depois de verificar se o seu computador atende aos pré-requisitos na seção Pré-requisitos acima, você estará com tudo pronto para instalar o RanSim.

Para instalar o RanSim, siga estas etapas:

  1. Acesse knowbe4.com/ransomware-simulator no seu navegador.
  2. Preencha os campos no formulário I want my RanSim download.
  3. Clique em Get RanSim!.
  4. Clique no link Click Here To Download RanSim. Ao clicar nesse link, o arquivo ransim.zip será baixado para o seu computador.
  5. Clique duas vezes no arquivo ransim.zip no seu gerenciador de arquivos.
  6. Depois, clique duas vezes no arquivo SimulatorSetup.exe. Ao clicar duas vezes nesse arquivo, você será solicitado a inserir uma senha.
  7. Insira “knowbe4” no campo para iniciar a instalação do RanSim no computador.

Depois que a instalação do RanSim terminar, a mensagem “Installation Successfully Completed” aparecerá na janela KnowBe4 RanSim Setup. Para saber como iniciar o RanSim, consulte a seção Iniciando o RanSim, abaixo.

Observação: Para que o RanSim seja instalado com êxito, os arquivos SimularorSetup.exe, Ranstart.exe, MainRunner.exe e Collector.exe devem poder ser executados. Se o seu produto de antivírus ou antimalware estiver bloqueando esses arquivos, você precisará configurar o produto para autorizá-los. Esse processo variará dependendo do produto de antivírus ou antimalware que você estiver usando. Se algum desses arquivos estiver em quarentena e você não viu um lembrete de aviso para permitir que o arquivo seja executado, será necessário restaurar o arquivo da quarentena e repetir as etapas acima. Para mais informações, veja a seção Programa antivírus de nosso artigo Perguntas frequentes (FAQs) do RanSim.

Habilitando o acesso controlado a pastas

Para executar o cenário de ransomware do RIPlacer, o acesso controlado a pastas da Microsoft deve estar habilitado no seu computador.

Para saber como habilitar manualmente o acesso controlado a pastas, ou usando a política de grupo, clique nos links abaixo:

 

Habilitar manualmente o acesso controlado a pastas

Para habilitar manualmente o acesso controlado a pastas, siga estas etapas:

  1. Clique no botão do Windows e insira “Proteção contra ransomware” na barra de pesquisa.
  2. Ative a opção Acesso controlado a pastas.
  3. Adicione os seguintes caminhos de pasta à seção Pastas protegidas:
    • c:\KB4\Varsim\DataDir\MainTests\8-Files
    • c:\KB4\Varsim\DataDir\MainTests\12-Files
    • c:\KB4\Varsim\DataDir\MainTests\16-Files
  4. Volte à tela Proteção contra ransomware e clique no link Permitir um aplicativo pelo acesso controlado a pastas.
  5. Adicione os seguintes aplicativos à lista de permissões:
    • c:\windows\system32\cmd.exe
    • c:\windows\system32\notepad.exe
    • c:\KB4\Varsim\MainRunner.exe

 

Habilitar o acesso controlado a pastas usando a política de grupo

Para habilitar o acesso controlado a pastas usando a política de grupo, siga estas etapas:

  1. Abra o Console de gerenciamento de política de grupo.
  2. Clique com o botão direito no Objeto de política de grupo que deseja configurar e clique em Editar.
  3. No Editor de gerenciamento de política de grupo, acesse Configuração do computador.
  4. Clique em Políticas e, depois, em Modelos administrativos.
  5. Expanda a árvore de diretórios para Componentes do Windows > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Acesso controlado a pastas.
  6. Clique duas vezes na configuração Configurar acesso controlado a pastas e, depois, clique em Habilitado.
  7. Defina a configuração Proteger o recurso Minhas pastas como Monitorar
  8. Configure as pastas protegidas e os aplicativos permitidos. Você pode localizar essas informações nas etapas 3, 4 e 5 da subseção Habilitar manualmente o acesso controlado a pastas, acima.

 

Iniciando o RanSim

Para iniciar o RanSim, siga estas etapas:

  1. Na janela KnowBe4 RanSim Setup, clique em Launch. Ou clique duas vezes no ícone KnowBe4 Ran Simulator no seu computador.
  2. Na janela Welcome to KnowBe4 RanSim, clique no botão Check now. Ao clicar nesse botão, o RanSim iniciará a execução das simulações de ransomware no seu computador, incluindo 23 cenários de ransomware e dois cenários com falso positivo. Para saber mais sobre esses cenários de ransomware e os cenários com falso positivo, consulte as seções Cenários de Ransomware e Cenários com falso positivo, abaixo.

Você pode exibir o progresso dos cenários na janela do KnowBe4 RanSim.

Depois que o RanSim executar todos os cenários, seus resultados serão exibidos. É possível exibir os resultados de cada cenário, incluindo os cenários Vulnerable, Not Vulnerable e Incorrectly Blocked. Para obter mais informações sobre como exibir e analisar seus resultados, consulte a seção Analisando os resultados do RanSim, abaixo.

Dica:Para executar cenários adicionais, clique no botão Check now novamente. Depois de executar seus primeiros cenários, você também tem a opção de adicionar seus próprios arquivos de teste na pasta de arquivos de teste. Depois, o RanSim executará os testes para ver se esses arquivos são vulneráveis aos ataques de ransomware.

Cenários de ransomware

Quando iniciado, o RanSim executará 23 cenários de ransomware no seu computador. Para saber mais sobre cada cenário, confira a tabela abaixo:

Observação:Para saber mais sobre os dois cenários com falso positivo que o RanSim executará no seu computador, consulte a seção Cenários com falso positivo, abaixo.
  • BlackKingdomVariant

    Esse cenário simula um ransomware que parece ter sido escrito em Python. Esse tipo de ransomware usa elementos de códigos que são idênticos ao código compartilhado nos fóruns de desenvolvimento. Esse tipo de ransomware também usa código não utilizado ou desabilitado.

    Exemplo: Black Kingdom ou GAmmAWare
    Collaborator

    Esse cenário simula um ransomware que usa vários processos para criptografar arquivos. Nele, o código executável chama outros processos para enumerar os arquivos de teste. Depois, os arquivos originais são criptografados, movidos e excluídos.

    Exemplo: atualmente, não há exemplos desse cenário. No entanto, seu software de proteção de ponto de extremidade deve estar preparado para detectar e parar esse tipo de ataque.
    CritroniVariantEsse cenário simula um ransomware que criptografa arquivos usando um padrão de ataque incomum.Exemplo: Critroni ou CBT
    DearCryVariant

    Esse cenário simula o ransomware que criptografa arquivos copiando-os e depois excluindo os arquivos originais. O método de criptografia usado nesse cenário não precisa contatar o servidor de controle e comando do invasor para criptografar arquivos.

    Exemplo: DearCry
    HollowInjectorEsse cenário simula o ransomware que usa o esvaziamento de processos para injetar código malicioso em um processo legítimo.Exemplo: Jaff ou GandCrab
    InjectorEsse cenário simula um ransomware que criptografa arquivos injetando código malicioso em um processo legítimo. Esse tipo de ransomware injeta o código usando um método comum, como a injeção da biblioteca de link dinâmico (Dynamic Link Library, DLL).Exemplo: GandCrab
    InsideCryptor

    Esse cenário simula um ransomware que criptografa arquivos e adiciona os dados criptografados ao arquivo original. 

    Exemplo: PClock
    LockyVariant

    Esse cenário simula uma variante Locky do ransomware. Ele simula apenas o método Locky para infectar arquivos, não seu algoritmo de criptografia.

    Exemplo: Locky
    MazeVariantEsse cenário simula os métodos usados pela variante Maze do ransomware.Exemplo: Maze
    MoverEsse cenário simula um ransomware que criptografa arquivos e move-os para uma subpasta da pasta original.
  • Exemplo: Alpha
  • PaymerVariantEsse cenário simula os métodos usados por um ransomware como DoppelPaymer.Exemplo: DoppelPaymer
    ReflectiveInjector

    Esse cenário simula um ransomware que usa um método avançado para injetar código de criptografia em um processo legítimo.

    Exemplo: Chimera ou Rokku
    Replacer

    Esse cenário simula um ataque executado por um ransomware que substitui o conteúdo dos arquivos que têm extensões específicas, como .docx ou .pdf. O conteúdo é substituído pelo conteúdo no mesmo formato do arquivo original. Depois que o conteúdo é substituído, os usuários são solicitados a pagar um resgate para restaurar o conteúdo nos arquivos originais.

    Exemplo: DirCrypt
    RigSimulatorEsse cenário simula a mineração de criptomoedas usando a CPU do computador.Exemplo: XMRig
    RIPlacerEsse cenário testa se as máquinas que estão protegidas pelo acesso controlado a pastas da Microsoft estão vulneráveis a ataques.
  • Exemplo: atualmente, não há exemplos desse cenário. No entanto, seu software de proteção de ponto de extremidade deve estar preparado para detectar e parar esse tipo de ataque.
    SlowCryptorEsse cenário simula um ransomware que criptografa arquivos lentamente, para evitar a detecção. 
  • Exemplo: variante FCrypt
    StreamerEsse cenário simula um ransomware que criptografa vários arquivos e move os dados criptografados para um único arquivo.Exemplo: Bart
    StrongCryptor

    Esse cenário simula um ataque executado pela maioria dos tipos de ransomware. Para cada arquivo de teste, o RanSim cria um novo arquivo que contém o conteúdo criptografado no arquivo de teste. Depois, o RanSim substitui o conteúdo do arquivo de teste original e exclui esse arquivo.

  •  
  • A criptografia é executada usando o AES.

    Exemplo: variante CryptoLocker sem comunicação de rede
    StrongCryptorFast
  • Esse cenário simula um ataque executado por muitos tipos de ransomware. Para cada arquivo de teste, o RanSim cria um novo arquivo que contém o conteúdo criptografado do arquivo de teste original. Depois, o RanSim exclui todos os arquivos de teste originais para que permaneçam apenas as versões criptografas dos arquivos de teste.
  •  
  • A criptografia é executada usando o AES.Exemplo: CryptoLocker
    StrongCryptorNet
  • Esse cenário simula um ataque executado por muitos tipos de ransomware. Para cada arquivo de teste, o RanSim cria um novo arquivo de teste que contém o conteúdo criptografado do arquivo de teste original. Depois, o RanSim exclui o arquivo de teste original.

    A criptografia é executada usando o AES. Nesse cenário, o RanSim também tenta criar uma conexão HTTP para o endereço IP 127.0.0.1, na porta 23054, para enviar a chave de criptografia.

  • Exemplo: variante CryptoLocker com comunicação do servidor de controle e comando
  • ThorVariant

    Esse cenário simula uma variante Thor do ransomware. Ele simula apenas os métodos do Thor para infectar arquivos, não seu algoritmo de criptografia.

    Exemplo: Thor
    VirlockVariant

    Esse cenário simula um ransomware complexo. Esse cenário conta com um processo de “watchdog”, que aguarda até que outro cenário seja iniciado primeiro. Depois, se o outro cenário for bloqueado, este cenário será recriado e reiniciado.

    Exemplo: Virlock
    WeakCryptor

    Esse cenário simula um ataque executado usando um tipo fraco de criptografia. Para cada arquivo de teste, o RanSim cria um novo arquivo de teste que contém o conteúdo criptografado do arquivo de teste original. Depois, o RanSim exclui o arquivo de teste original.

    Nesse cenário, a criptografia é simulada pela compactação do conteúdo do arquivo original usando o GZip. Depois, o primeiro byte do resultado, 0x1F, é substituído por 0x00.

    Exemplo: TeleCrypt

Cenários com falso positivo

Além dos 23 cenários de ransomware, o RanSim também executa dois cenários com falso positivo no seu computador. Os falsos positivos são arquivos ou programas classificados incorretamente como maliciosos e bloqueados pelo seu software de proteção de ponto de extremidade.

Os cenários com falso positivo do RanSim são chamados de Archiver e Remover. Se um desses cenários for bloqueado pelo seu software de proteção de ponto de extremidade, os resultados de Incorrectly Blocked aumentarão no RanSim. Para obter mais informações sobre como exibir os resultados, consulte a seção Analisando os resultados do RanSim, abaixo.

Se os cenários com falso positivo forem bloqueados, seus resultados do RanSim poderão não medir precisamente a efetividade do software de proteção de ponto de extremidade.

Observação:Infelizmente, não podemos evitar que seu software de proteção de ponto de extremidade bloqueie os cenários com falso positivo.

Analisando os resultados do RanSim

Depois que o RanSim concluir a execução de todos os cenários de ransomware e falso positivo, você poderá exibir seus resultados na janela do KnowBe4 RanSim.

Nas caixas Vulnerable, Not Vulnerable e Incorrectly Blocked, no canto superior esquerdo da janela, você pode ver o número de cenários em cada status. Idealmente, seus resultados serão exibidos como 0/23 cenários Vulnerable, 23/23 cenários Not Vulnerable e 0/2 cenários Incorrectly Blocked.

Na janela do KnowBe4 RanSim, você também pode ver um gráfico circular e uma tabela com mais informações sobre seus resultados. O gráfico circular exibe informações sobre os tipos de arquivos vulneráveis encontrados, como documentos ou imagens. A tabela exibe informações sobre cada cenário, incluindo o nome e o status do cenário, uma descrição dele e o caminho dos arquivos de teste criptografados.Você pode também clicar no link Export to CSV no canto superior direito da seção Scenarios para baixar um arquivo CSV. Esse arquivo CSV contém informações sobre os resultados do RanSim.

Não encontrou o que estava procurando?

Fale com o suporte