RanSim

PERGUNTAS FREQUENTES: RanSim

Neste artigo, você encontrará perguntas frequentes (FAQs) sobre a ferramenta RanSim.

Para obter informações gerais sobre o RanSim, consulte o Manual do produto RanSim.

Informações gerais

1. O RanSim simula o comportamento dos ataques reais de ransomware? Há alguns exemplos de ransomware real com comportamento semelhante?

2. O RanSim coleta alguma informação sobre meu computador?

3. Na janela de resultados do KnowBe4 RanSim, o que significa o rótulo Executed? O que diferencia esse rótulo dos rótulos Vulnerable ou Not Vulnerable?

4. Eu posso usar o RanSim para testar meus próprios arquivos? Por exemplo, eu posso testar meus próprios documentos ou fotos?

5. Alguma conexão de rede será criada quando eu usar o RanSim? Em caso positivo, para que essas conexões de rede são usadas?

1. O RanSim simula o comportamento dos ataques reais de ransomware? Há alguns exemplos de ransomware real com comportamento semelhante?

Sim, o RanSim simula um comportamento de ransomware real, com diferenças mínimas. Por exemplo, as chaves e os algoritmos de criptografia usados no RanSim são diferentes das chaves e dos algoritmos de criptografia usados no ransomware real.

Para obter mais informações sobre os cenários de ransomware e os cenários com falso positivo do RanSim, consulte o Manual do produto RanSim.

2. O RanSim coleta alguma informação sobre meu computador?

A única informação que o RanSim coleta é o número de arquivos nos seus discos locais que contêm extensões que podem ser vulneráveis a ataques reais de ransomware. 

3. Na janela de resultados do KnowBe4 RanSim, o que significa o rótulo Executed? O que diferencia esse rótulo dos rótulos Vulnerable ou Not Vulnerable?

O rótulo Executed indica cenários com falso positivo que não foram bloqueados pelo seu software de proteção de ponto de extremidade. Se o software de proteção de ponto de extremidade estiver funcionando corretamente, o rótulo Executed será exibido ao lado dos dois cenários com falso positivo.

Os rótulos Vulnerable e Not Vulnerable indicam os resultados dos cenários de ransomware em vez de cenários com falso positivo. O rótulo Vulnerable será exibido ao lado de qualquer cenário de ransomware reprovado no teste do RanSim e que possa estar vulnerável a um ataque real de ransomware. O rótulo Not Vulnerable será exibido ao lado de qualquer cenário de ransomware não reprovado no teste do RanSim e que possa estar protegido contra um ataque real de ransomware.

4. Eu posso usar o RanSim para testar meus próprios arquivos? Por exemplo, eu posso testar meus próprios documentos ou fotos? 

Sim, você pode testar seus próprios arquivos depois do primeiro escaneamento do RanSim.

Para testar seus próprios arquivos, siga estas etapas:

  1. No canto superior direito da janela do KnowBe4 RanSim, clique em clique aqui na seção Opcionalmente, clique aqui para copiar seus próprios arquivos de teste na pasta de arquivos de teste.
  2. Quando solicitado, selecione os arquivos que você deseja copiar para a pasta %systemdrive%\KB4\Varsim|DataDir\TestFiles.
Observação:Você pode adicionar até 50 arquivos. O limite de tamanho de cada arquivo é de 10 MB.
Importante:Faça cópias desses arquivos em vez de movê-los. Se você desinstalar o RanSim futuramente, todos os arquivos na pasta %systemdrive%\KB4\Varsim|DataDir\TestFiles serão excluídos.

Depois de copiar os arquivos e adicioná-los à pasta de teste, você poderá fazer escaneamentos adicionais do RanSim nesses arquivos.

5. Alguma conexão de rede será criada quando eu usar o RanSim? Em caso positivo, para que essas conexões de rede são usadas?

Existe um cenário de ransomware do RanSim que tenta abrir uma conexão HTTP com 127.0.0.1, porta 23054, para enviar uma mensagem contendo a chave de criptografia.

Programa antivírus

1. Meu programa antivírus marcou meu arquivo SimulatorSetup.exe, MainRunner.exe, Collector.exe ou SimulatorSetup.exe como malicioso. O que devo fazer?

2. Meu programa antivírus não marcou o arquivo MainRunner.exe ou SimulatorSetup.exe como malicioso. No entanto, durante um escaneamento do RanSim, meu programa antivírus marcou um ou mais arquivos de teste como maliciosos. O que devo fazer?

3. O que acontece se meu programa antivírus marcar meu arquivo de instalação do RanSim como malicioso?

4. O Windows Security marcou meu arquivo ransim.zip como malicioso e não permitirá a abertura dele. O que devo fazer?

1. Meu programa antivírus marcou meu arquivo SimulatorSetup.exe, MainRunner.exe, Collector.exe ou SimulatorSetup.exe como malicioso. O que devo fazer?

Esses arquivos não contêm códigos perigosos e devem ter a execução permitida. Você pode considerá-los como falsos positivos. No entanto, eles não serão exibidos nos seus resultados de falsos positivos. Para obter mais informações sobre esses arquivos, consulte a lista abaixo: 

  • SimulatorSetup.exe: Este arquivo instala o RanSim.
  • Ranstart.exe: Este arquivo é a interface do RanSim.
  • MainRunner.exe: Este arquivo prepara o ambiente de teste e inicia os cenários do RanSim.
  • Collector.exe: Este arquivo coleta os resultados de cada simulação.

Se os arquivos forem marcados como maliciosos, alguns programas antivírus poderão emitir um aviso. Ao receber um aviso, você pode deixar o arquivo ser executado, colocá-lo em quarentena ou bloqueá-lo. Outros programas antivírus podem bloquear e colocar o arquivo em quarentena automaticamente. Para obter mais informações, consulte a seguinte lista:

  • Se os seus arquivos MainRunner.exe ou Collector.exe forem colocados em quarentena antes do primeiro escaneamento do RanSim, o RanSim tentará recriá-los quando iniciar o escaneamento. Se os arquivos forem colocados em quarentena novamente, você será informado de que pelo menos um deles está ausente e será orientado a verificar se eles podem ser executados no seu computador.
  • Se os seus arquivos MainRunner.exe ou Collector.exe forem colocados em quarentena durante um escaneamento do RanSim, o escaneamento será cancelado. O RanSim tentará recriá-los, e você será orientado a escanear novamente. Se os arquivos forem novamente bloqueados, o RanSim não tentará recriá-los. Em vez disso, será solicitado que você verifique se eles podem ser executados e, depois, que reinicie o RanSim para escanear novamente.

2. Meu programa antivírus não marcou o arquivo MainRunner.exe ou SimulatorSetup.exe como malicioso. No entanto, durante um escaneamento do RanSim, meu programa antivírus marcou um ou mais arquivos de teste como maliciosos. O que devo fazer?

Este é o comportamento pretendido. Se o programa antivírus marcar os arquivos de teste como perigosos ou maliciosos, isso significa que esse programa está funcionando corretamente. Se o programa antivírus bloquear ou colocar em quarentena os arquivos de teste durante um escaneamento do RanSim, esse programa terá sucesso ao bloquear ou colocar o ransomware em quarentena durante um ataque real.

3. O que acontece se meu programa antivírus marcar meu arquivo de instalação do RanSim como malicioso?

A maioria dos programas antivírus testados não marca o arquivo de instalação do RanSim como malicioso. No entanto, se o arquivo for marcado, você deverá adicioná-lo à lista branca do seu programa antivírus. Depois, poderá tentar instalar o RanSim novamente.

4. O Windows Security marcou meu arquivo ransim.zip como malicioso e não permitirá a abertura dele. O que devo fazer?

Para abrir esse arquivo, adicione uma exclusão às suas configurações de Segurança do Windows. Para obter mais informações, consulte o artigo da Microsoft Adicionar uma exclusão à Segurança do Windows.

Arquivos do RanSim

1. Quando eu instalo o RanSim, onde ficam localizados meus arquivos do programa?

2. Quais subpastas estarão localizadas em minha pasta de instalação \KB4\Newsim?

3. Qual extensão de arquivo é usada para os cenários do RanSim?

4. Quais chaves do registro são criadas e onde elas estão localizadas no meu registro? Se você desinstalar o RanSim, essas chaves do registro serão removidas?

5. Algum arquivo de log é gerado quando eu uso o RanSim? Em caso positivo, alguma entrada será adicionada ao Log de eventos do Windows?

1. Quando eu instalo o RanSim, onde ficam localizados meus arquivos do programa?

Todos os arquivos estarão localizados na pasta de instalação c:\KB4\Newsim ou %systemdrive%\KB4\Newsim

Se você desinstalar o RanSim, a pasta de instalação será removida do seu computador.

2. Quais subpastas estarão localizadas em minha pasta de instalação \KB4\Newsim?

Para saber sobre as subpastas que estarão localizadas na sua pasta de instalação \KB4\Varsim, consulte a seguinte tabela:

Nome da subpasta Descrição da subpasta
\Newsim\DataDir Essa subpasta representa o ambiente simulado criado pelo RanSim.
\Newsim\DataDir\TestFiles Essa subpasta contém os arquivos de teste das simulações do RanSim.
\Newsim\DataDir\MainTests\xx

Cada cenário do RanSim tem uma subpasta com os arquivos de testes relacionados. Um número é atribuído à subpasta de cada cenário.

Para obter mais informações sobre os cenários do RanSim, consulte o Manual do produto RanSim.

\Rassim\DataDir\Tests\xx-Tests

Cada cenário do RanSim tem uma subpasta que contém cópias dos arquivos de teste em \Varsim\DataDir\MainTests\xx do cenário.

Para obter mais informações sobre os cenários do RanSim, consulte o Manual do produto RanSim.

3. Qual extensão de arquivo é usada para os cenários do RanSim?

Os cenários do RanSim usam uma extensão de arquivo .cxp.

4. Quais chaves do registro são criadas e onde elas estão localizadas no meu registro? Se você desinstalar o RanSim, essas chaves do registro serão removidas?

Além de todas as entradas gerenciadas pelo msinstaller, o RanSim criará a chave do registro HKEY_CURRENT_USER\SOFTWARE\KnowBe4 Ran Simulator. Se você desinstalar o RanSim, essa chave do registro será removida.

5. Algum arquivo de log é gerado quando eu uso o RanSim? Em caso positivo, alguma entrada será adicionada ao Log de eventos do Windows?

No diretório de logs do RanSim, há alguns arquivos CSV com informações internas. No entanto, o RanSim não adiciona nenhuma entrada ao Log de eventos do Windows.

Não encontrou o que estava procurando?

Fale com o suporte