O Ransomware Simulator (RanSim) é uma ferramenta que simula ataques de ransomware para saber como o seu software de proteção de ponto de extremidade responde no caso de um ataque real de ransomware. Você pode usar o RanSim para ver se o seu software de proteção de ponto de extremidade bloqueia o ransomware ou se cria falsos positivos. O RanSim também pode ser usado para ver como determinados arquivos são afetados pelo ransomware.
Se preferir tutoriais em vídeo, assista também ao vídeo sobre o RanSim.
Pré-requisitos
Para instalar e iniciar o RanSim, você precisa atender aos seguintes requisitos:
- Seu computador deve ter o Microsoft Windows 10 de 64 bits ou mais recente.
- Seu computador deve ter pelo menos dois núcleos de processador, 2 GB de RAM e 100 MB de espaço livre em HDD.
- Seu computador deve ter acesso à Internet.
- Seu computador precisa ter o .NET Framework 4.5.2 instalado para iniciar a ferramenta.
Importante: No entanto, se o seu computador não usar essa estrutura, ela será instalada automaticamente quando você instalar o RanSim.
- Para executar nosso cenário de ransomware do RIPlacer, habilite o acesso controlado a pastas. Para obter mais informações, consulte a seção Habilitando o acesso controlado a pastas deste artigo.
Instalando o RanSim
Depois de verificar se o seu computador atende aos pré-requisitos na seção Pré-requisitos acima, você estará com tudo pronto para instalar o RanSim.
Para instalar o RanSim, siga estas etapas:
- Acesse knowbe4.com/ransomware-simulator no seu navegador.
- Preencha os campos no formulário I want my RanSim download.
- Clique em Get RanSim!.
- Clique no link Click Here To Download RanSim. Ao clicar nesse link, o arquivo ransim.zip será baixado para o seu computador.
- Clique duas vezes no arquivo ransim.zip no seu gerenciador de arquivos.
- Depois, clique duas vezes no arquivo SimulatorSetup.exe. Ao clicar duas vezes nesse arquivo, você será solicitado a inserir uma senha.
- Insira “knowbe4” no campo para iniciar a instalação do RanSim no computador.
Depois que a instalação do RanSim terminar, a mensagem “Installation Successfully Completed” aparecerá na janela KnowBe4 RanSim Setup. Para saber como iniciar o RanSim, consulte a seção Iniciando o RanSim, abaixo.
Habilitando o acesso controlado a pastas
Para executar o cenário de ransomware do RIPlacer, o acesso controlado a pastas da Microsoft deve estar habilitado no seu computador.
Para saber como habilitar manualmente o acesso controlado a pastas, ou usando a política de grupo, clique nos links abaixo:
- Habilitar manualmente o acesso controlado a pastas
- Habilitar o acesso controlado a pastas usando a política de grupo
Habilitar manualmente o acesso controlado a pastas
Para habilitar manualmente o acesso controlado a pastas, siga estas etapas:
- Clique no botão do Windows e insira “Proteção contra ransomware” na barra de pesquisa.
- Ative a opção Acesso controlado a pastas.
- Adicione os seguintes caminhos de pasta à seção Pastas protegidas:
- c:\KB4\Newsim\DataDir\MainTests\8-Files
- c:\KB4\Newsim\DataDir\MainTests\12-Files
- c:\KB4\Newsim\DataDir\MainTests\16-Files
- Volte à tela Proteção contra ransomware e clique no link Permitir um aplicativo pelo acesso controlado a pastas.
- Adicione os seguintes aplicativos à lista de permissões:
- c:\windows\system32\cmd.exe
- c:\windows\system32\notepad.exe
- c:\KB4\Newsim\MainStarter.exe
Habilitar o acesso controlado a pastas usando a política de grupo
Para habilitar o acesso controlado a pastas usando a política de grupo, siga estas etapas:
- Abra o Console de gerenciamento de política de grupo.
- Clique com o botão direito no Objeto de política de grupo que deseja configurar e clique em Editar.
- No Editor de gerenciamento de política de grupo, acesse Configuração do computador.
- Clique em Políticas e, depois, em Modelos administrativos.
- Expanda a árvore de diretórios para Componentes do Windows > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Acesso controlado a pastas.
- Clique duas vezes na configuração Configurar acesso controlado a pastas e, depois, clique em Habilitado.
- Defina a configuração Proteger o recurso Minhas pastas como Monitorar.
- Configure as pastas protegidas e os aplicativos permitidos. Você pode localizar essas informações nas etapas 3, 4 e 5 da subseção Habilitar manualmente o acesso controlado a pastas, acima.
Iniciando o RanSim
Para iniciar o RanSim, siga estas etapas:
- Na janela KnowBe4 RanSim Setup, clique em Launch. Ou clique duas vezes no ícone KnowBe4 Ran Simulator no seu computador.
- Na janela Welcome to KnowBe4 RanSim, clique no botão Check now. Ao clicar nesse botão, o RanSim iniciará a execução das simulações de ransomware no seu computador, incluindo 23 cenários de ransomware e dois cenários com falso positivo. Para saber mais sobre esses cenários de ransomware e os cenários com falso positivo, consulte as seções Cenários de Ransomware e Cenários com falso positivo, abaixo.
Você pode exibir o progresso dos cenários na janela do KnowBe4 RanSim.
Depois que o RanSim executar todos os cenários, seus resultados serão exibidos. É possível exibir os resultados de cada cenário, incluindo os cenários Vulnerable, Not Vulnerable e Incorrectly Blocked. Para obter mais informações sobre como exibir e analisar seus resultados, consulte a seção Analisando os resultados do RanSim, abaixo.
Opções de idioma
Por padrão, o idioma de exibição do RanSim é definido como Inglês (Estados Unidos). No entanto, também é possível selecionar os idiomas Espanhol (Espanha) ou Francês (França).
Para alterar as configurações de idioma, clique no link do idioma atual, no canto inferior direito do cliente. Com isso, o modal Idioma de exibição será aberto para que você possa selecionar o idioma no menu suspenso.
Cenários de ransomware
Quando iniciado, o RanSim executará 23 cenários de ransomware no seu computador. Para saber mais sobre cada cenário, confira a tabela abaixo:
BlackKingdomVariant
Esse cenário simula um ransomware que parece ter sido escrito em Python. Esse tipo de ransomware usa elementos de códigos que são idênticos ao código compartilhado nos fóruns de desenvolvimento. Esse tipo de ransomware também usa código não utilizado ou desabilitado.
Exemplo: Black Kingdom ou GAmmAWare
Collaborator
Esse cenário simula um ransomware que usa vários processos para criptografar arquivos. Nele, o código executável chama outros processos para enumerar os arquivos de teste. Depois, os arquivos originais são criptografados, movidos e excluídos.
Exemplo: atualmente, não há exemplos desse cenário. No entanto, seu software de proteção de ponto de extremidade deve estar preparado para detectar e parar esse tipo de ataque.
CritroniVariant
Esse cenário simula um ransomware que criptografa arquivos usando um padrão de ataque incomum.
Exemplo: Critroni ou CBT
DearCryVariant
Esse cenário simula o ransomware que criptografa arquivos copiando-os e depois excluindo os arquivos originais. O método de criptografia usado nesse cenário não precisa contatar o servidor de controle e comando do invasor para criptografar arquivos.
Exemplo: DearCry
DjVuVariant
Esse cenário simula os métodos usados pelo ransomware DjVu. Usado normalmente para atacar grandes organizações, o DjVu criptografa cópias dos arquivos-alvo e exclui os arquivos originais.
Exemplo: DjVu
HollowInjector
Esse cenário simula o ransomware que usa o esvaziamento de processos para injetar código malicioso em um processo legítimo.
Exemplo: Jaff ou GandCrab
Injector
Esse cenário simula um ransomware que criptografa arquivos injetando código malicioso em um processo legítimo. Esse tipo de ransomware injeta o código usando um método comum, como a injeção da biblioteca de link dinâmico (Dynamic Link Library, DLL).
Exemplo: GandCrab
InsideCryptor
Esse cenário simula um ransomware que criptografa arquivos e adiciona os dados criptografados ao arquivo original.
Exemplo: PClock
LockyVariant
Esse cenário simula uma variante Locky do ransomware. Ele simula apenas o método Locky para infectar arquivos, não seu algoritmo de criptografia.
Exemplo: Locky
MazeVariant
Esse cenário simula os métodos usados pela variante Maze do ransomware.
Exemplo: Maze
Mover
Esse cenário simula um ransomware que criptografa arquivos e move-os para uma subpasta da pasta original.
Exemplo: Alpha
PaymerVariant
Esse cenário simula os métodos usados por um ransomware como DoppelPaymer.
Exemplo: DoppelPaymer
PhobosVariant
Esse cenário simula os métodos usados pela variante Maze do ransomware. Usado normalmente para atacar pequenas organizações, o Phobos criptografa cópias dos arquivos-alvo e exclui os arquivos originais.
Exemplo: Phobos
ReflectiveInjector
Esse cenário simula um ransomware que usa um método avançado para injetar código de criptografia em um processo legítimo.
Exemplo: Chimera ou Rokku
Replacer
Esse cenário simula um ataque executado por um ransomware que substitui o conteúdo dos arquivos que têm extensões específicas, como .docx ou .pdf. O conteúdo é substituído pelo conteúdo no mesmo formato do arquivo original. Depois que o conteúdo é substituído, os usuários são solicitados a pagar um resgate para restaurar o conteúdo nos arquivos originais.
Exemplo: DirCrypt
RigSimulator
Esse cenário simula a mineração de criptomoedas usando a CPU do computador.
Exemplo: XMRig
RIPlacer
Esse cenário testa se as máquinas que estão protegidas pelo acesso controlado a pastas da Microsoft estão vulneráveis a ataques.
Exemplo: atualmente, não há exemplos desse cenário. No entanto, seu software de proteção de ponto de extremidade deve estar preparado para detectar e parar esse tipo de ataque.
SlowCryptor
Esse cenário simula um ransomware que criptografa arquivos lentamente, para evitar a detecção.
Exemplo: variante FCrypt
Streamer
Esse cenário simula um ransomware que criptografa vários arquivos e move os dados criptografados para um único arquivo.
Exemplo: Bart
StrongCryptor
Esse cenário simula um ataque executado pela maioria dos tipos de ransomware. Para cada arquivo de teste, o RanSim cria um novo arquivo que contém o conteúdo criptografado no arquivo de teste. Depois, o RanSim substitui o conteúdo do arquivo de teste original e exclui esse arquivo.
A criptografia é executada usando o AES.
Exemplo: variante CryptoLocker sem comunicação de rede
StrongCryptorFast
Esse cenário simula um ataque executado por muitos tipos de ransomware. Para cada arquivo de teste, o RanSim cria um novo arquivo que contém o conteúdo criptografado do arquivo de teste original. Depois, o RanSim exclui todos os arquivos de teste originais para que permaneçam apenas as versões criptografas dos arquivos de teste.
A criptografia é executada usando o AES.
Exemplo: CryptoLocker
StrongCryptorNet
Esse cenário simula um ataque executado por muitos tipos de ransomware. Para cada arquivo de teste, o RanSim cria um novo arquivo de teste que contém o conteúdo criptografado do arquivo de teste original. Depois, o RanSim exclui o arquivo de teste original.
A criptografia é executada usando o AES. Nesse cenário, o RanSim também tenta criar uma conexão HTTP para o endereço IP 127.0.0.1, na porta 23054, para enviar a chave de criptografia.
Exemplo: variante CryptoLocker com comunicação do servidor de controle e comando
ThorVariant
Esse cenário simula uma variante Thor do ransomware. Ele simula apenas os métodos do Thor para infectar arquivos, não seu algoritmo de criptografia.
Exemplo: Thor
VirlockVariant
Esse cenário simula um ransomware complexo. Esse cenário conta com um processo de “watchdog”, que aguarda até que outro cenário seja iniciado primeiro. Depois, se o outro cenário for bloqueado, este cenário será recriado e reiniciado.
Exemplo: Virlock
WeakCryptor
Esse cenário simula um ataque executado usando um tipo fraco de criptografia. Para cada arquivo de teste, o RanSim cria um novo arquivo de teste que contém o conteúdo criptografado do arquivo de teste original. Depois, o RanSim exclui o arquivo de teste original.
Nesse cenário, a criptografia é simulada pela compactação do conteúdo do arquivo original usando o GZip. Depois, o primeiro byte do resultado, 0x1F, é substituído por 0x00.
Exemplo: TeleCrypt
Cenários com falso positivo
Além dos 23 cenários de ransomware, o RanSim também executa dois cenários com falso positivo no seu computador. Os falsos positivos são arquivos ou programas classificados incorretamente como maliciosos e bloqueados pelo seu software de proteção de ponto de extremidade.
Os cenários com falso positivo do RanSim são chamados de Archiver e Remover. Se um desses cenários for bloqueado pelo seu software de proteção de ponto de extremidade, os resultados de Incorrectly Blocked aumentarão no RanSim. Para obter mais informações sobre como exibir os resultados, consulte a seção Analisando os resultados do RanSim, abaixo.
Se os cenários com falso positivo forem bloqueados, seus resultados do RanSim poderão não medir precisamente a efetividade do software de proteção de ponto de extremidade.
Analisando os resultados do RanSim
Depois que o RanSim concluir a execução de todos os cenários de ransomware e falso positivo, você poderá exibir seus resultados na janela do KnowBe4 RanSim.
Nas caixas Vulnerable, Not Vulnerable e Incorrectly Blocked, no canto superior esquerdo da janela, você pode ver o número de cenários em cada status. Idealmente, seus resultados serão exibidos como 0/23 cenários Vulnerable, 23/23 cenários Not Vulnerable e 0/2 cenários Incorrectly Blocked.
Na janela do KnowBe4 RanSim, você também pode ver um gráfico circular e uma tabela com mais informações sobre seus resultados. O gráfico circular exibe informações sobre os tipos de arquivos vulneráveis encontrados, como documentos ou imagens. A tabela exibe informações sobre cada cenário, incluindo o nome e o status do cenário, uma descrição dele e o caminho dos arquivos de teste criptografados. Você pode também clicar no link Export to CSV no canto superior direito da seção Scenarios para baixar um arquivo CSV. Esse arquivo CSV contém informações sobre os resultados do RanSim.