RanSim

分享

本文是否有帮助?

上次更新时间:

RanSim 产品手册

Ransomware Simulator (RanSim) 是一种模拟勒索软件攻击的工具,它可以让您了解您的端点保护软件在遭遇真正的勒索软件攻击时会如何响应。您可以使用 RanSim 查看您的端点保护软件是否会阻止勒索软件或是否会产生误报。您还可以使用 RanSim 了解勒索软件如何影响特定文件。

如需视频教程,您可以观看视频 RanSim

重要提示:为了获得准确结果,当您使用 RanSim 时,必须配置您的防病毒软件且正常运行。

先决条件

如需安装和启动 RanSim,您需要满足下列要求:

  • 您的计算机必须使用 64 位 Microsoft Windows 10 或更高版本。
  • 您的计算机必须拥有至少 2 个处理器内核、2 GB RAM 和 100 MB 可用 HDD 空间。
  • 您的计算机必须能够连接到 Internet。
  • 您的计算机必须使用 .NET Framework 4.5.2 才能启动该工具。
    重要提示:如果您的计算机没有使用此框架,则在安装 RanSim 时会自动安装该框架。
  • 如需运行我们的 RIPlacer 勒索软件场景,您必须启用受控文件夹访问权限。有关更多信息,请参阅本文的启用受控文件夹访问权限部分。
重要提示:为了获得准确结果,我们建议安装 RanSim 的计算机应使用与您的用户计算机相同的程序和安全软件。

安装 RanSim

在您确认了您的计算机满足上述先决条件部分中的先决条件之后,即可开始安装 RanSim。

如需安装 RanSim,请按照以下步骤操作:

  1. 在您的浏览器中访问 knowbe4.com/ransomware-simulator
  2. 填写 I want my RanSim download 表格。
  3. 单击 Get RanSim!
  4. 单击单击此处,下载 RanSim 链接。单击此链接后,即可将 ransim.zip 文件下载至您的计算机。
  5. 打开文件管理器,双击 ransim.zip 文件。
  6. 然后双击 SimulatorSetup.exe 文件。双击此文件时,系统会提示您输入密码。
  7. 在字段中输入“knowbe4”开始在您的计算机上安装 RanSim。

RanSim 完成安装后,KnowBe4 RanSim Setup 窗口中将显示“Installation Successfully Completed”消息。如需了解如何启动 RanSim,请参阅以下启动 RanSim 部分。

重要提示:要成功安装 RanSim,必须能够运行 SimulatorSetup.exeRanstart.exeMainStarter.exeCollector.exe 文件。如果您的防病毒或反恶意软件产品屏蔽了这些文件,则需要对其进行配置,使其允许这些文件运行。根据您使用的防病毒或反恶意软件产品,该过程可能会有所不同。如果这些文件中有任何文件被隔离,而且您没有看到允许文件运行的警告提示,则需要从隔离区恢复该文件,然后重复上面的步骤。更多信息请参阅 RanSim 常见问题解答 (FAQ) 一文的防病毒软件部分。

启用受控文件夹访问权限

如需运行 RIPlacer 勒索软件场景,必须在您的计算机上启用 Microsoft 受控文件夹访问权限。

如需了解如何手动或通过组策略启用受控文件夹访问权限,请单击以下链接:

手动启用受控文件夹访问权限

如需手动启用受控文件夹访问权限,请按照以下步骤操作:

  1. 单击 Windows 按钮,然后在搜索栏中输入“勒索软件防护”。
  2. 打开受控文件夹访问权限选项。
  3. 将以下文件夹路径添加到受保护的文件夹部分:
    • c:\KB4\Newsim\DataDir\MainTests\8-Files
    • c:\KB4\Newsim\DataDir\MainTests\12-Files
    • c:\KB4\Newsim\DataDir\MainTests\16-Files
  4. 返回勒索软件防护屏幕,然后单击允许应用通过受控文件夹访问链接。
  5. 将以下应用程序添加到允许列表:
    • c:\windows\system32\cmd.exe
    • c:\windows\system32\notepad.exe
    • c:\KB4\Newsim\MainStarter.exe

通过组策略启用受控文件夹访问权限

如需通过组策略启用受控文件夹访问权限,请执行以下步骤:

  1. 打开组策略管理控制台
  2. 右键单击要配置的组策略对象,然后单击编辑
  3. 组策略管理编辑器中,转到计算机配置
  4. 单击策略,然后单击管理模板
  5. 展开目录树,选择 Windows 组件 > Microsoft Defender 防病毒 > Microsoft Defender 攻击防护 > 受控文件夹访问权限
  6. 双击配置受控文件夹访问权限设置,然后单击已启用
  7. 保护我的文件夹功能设置设为监控
  8. 配置受保护的文件夹和允许的应用程序。您可在上述手动启用受控文件夹访问权限子部分的第 3、4、5 步中查找相应信息。

启动 RanSim

如需启动 RanSim,请按照以下步骤操作:

  1. KnowBe4 RanSim Setup 窗口中,单击 Launch。或者双击计算机上的 KnowBe4 Ran Simulator 图标。
  2. Welcome to KnowBe4 Ransim 窗口中,单击 Check now 按钮。当您单击此按钮时,RanSim 将开始在您的计算机上运行勒索软件模拟,包括 23 个勒索软件场景和两个误报场景。如需详细了解这些勒索软件场景和误报场景,请参阅以下勒索软件场景误报场景部分。

您可以在 KnowBe4 Ransim 窗口中查看场景的进度。

RanSim 运行完所有场景后,将显示您的结果。您可以查看每个场景的结果,包括 Vulnerable 场景、Not Vulnerable 场景和 Incorrectly Blocked 场景。有关查看和分析结果的更多信息,请参阅以下分析您的 RanSim 结果部分。

提示:您可以再次单击 Check now 按钮以运行其他场景。运行第一个场景后,您还可以选择将自己的测试文件添加到测试文件文件夹中。然后,RanSim 将运行测试以查看这些文件是否容易受勒索软件攻击。

语言(可选)

RanSim 显示语言将默认设置为英语(美国)。不过,您也可以选择西班牙语(西班牙)法语(法国)

要更改语言设置,请单击客户端右下角的当前语言链接。单击后,将打开显示语言模式,即可从下拉菜单中选择语言。

勒索软件场景

启动后,RanSim 将在您的计算机上运行 23 个勒索软件场景。如需了解每种场景的更多信息,请参阅下表:

注意:如需了解有关 RanSim 将在您的计算机上运行的两种误报场景的更多信息,请参阅下面的误报场景部分。

BlackKingdomVariant

此场景模拟看似使用 Python 编写的勒索软件。此类勒索软件使用的代码元素与开发论坛上共享的代码相同。此类勒索软件还会使用未使用的代码或僵尸代码。

示例Black Kingdom 或 GAmmAWare

Collaborator

此场景模拟使用多个进程加密文件的勒索软件。在此场景中,可执行代码调用其他进程来枚举测试文件。然后,原始文件将被加密、移动和删除。

示例:目前,没有此场景的任何示例。但是,您的端点保护软件应准备好检测并阻止此类攻击。

CritroniVariant

此场景模拟使用不常见的攻击模式加密文件的勒索软件。

示例:Critroni 或 CBT

DearCryVariant

此场景模拟通过复制文件然后删除原始文件来加密文件的勒索软件。此场景中使用的加密方式不需要联系攻击者的指挥与控制服务器来加密文件。

示例:DearCry

DjVuVariant

此场景模拟 DjVu 勒索软件使用的方法。DjVu 通常用于攻击大型组织,会对目标文件的副本加密并将原始文件删除。

示例:DjVu

HollowInjector

此场景模拟使用进程替换将恶意代码注入合法进程的勒索软件。

示例:Jaff 或 GandCrab

Injector

此场景模拟通过将恶意代码注入合法进程来加密文件的勒索软件。此类勒索软件使用常用方法来注入代码,例如动态链接库 (DLL) 注入。

示例:GandCrab

InsideCryptor

此场景模拟加密文件并将加密数据添加到原始文件的勒索软件。

示例:PClock

LockyVariant

此场景模拟 Locky 勒索软件的变体。此场景仅模拟 Locky 感染文件的方法,而非其加密算法。

示例:Locky

MazeVariant

此场景模拟 Maze 勒索软件使用的方法。

示例:Maze

Mover

此场景模拟加密文件并将文件移动到原始文件夹的子文件夹的勒索软件。

示例:Alpha

PaymerVariant

此场景模拟 DoppelPaymer 等勒索软件使用的方法。

示例:DoppelPaymer

PhobosVariant

此场景模拟 Phobos 勒索软件使用的方法。Phobos 通常用于攻击小型组织,会对目标文件的副本加密并将原始文件删除。

示例:Phobos

ReflectiveInjector

此场景模拟使用高级方法将加密代码注入合法进程的勒索软件。

示例:Chimera 或 Rokku

Replacer

此场景模拟由勒索软件执行的攻击,该攻击会覆盖具有特定扩展名的文件的内容,例如 .docx 或 .pdf。内容将被与原始文件格式相同的内容覆盖。一旦内容被覆盖,用户就需要支付赎金以恢复原始文件中的内容。

示例:DirCrypt

RigSimulator

此场景模拟加密挖矿,即使用计算机的 CPU 挖掘加密货币。

示例:XMRig

RIPlacer

此场景测试受 Microsoft 控制文件夹访问权限保护的计算机是否容易受到攻击。

示例:目前,没有此场景的任何示例。但是,您的端点保护软件应准备好检测并阻止此类攻击。

SlowCryptor

此场景模拟缓慢加密文件以避免检测的勒索软件。

示例:FCrypt 变体

Streamer

此场景模拟加密多个文件并将加密数据移动到单个文件的勒索软件。

示例:Bart

StrongCryptor

此场景模拟大多数类型的勒索软件执行的攻击。对于每个测试文件,RanSim 都会创建一个新文件,其中包含测试文件中的加密内容。然后,RanSim 会覆盖原始测试文件中的内容并删除该文件。

使用 AES 执行加密。

示例:没有网络通信的 CryptoLocker 变体

StrongCryptorFast

此场景模拟多种类型的勒索软件执行的攻击。对于每个测试文件,RanSim 都会创建一个新文件,其中包含原始测试文件的加密内容。然后,RanSim 会删除所有原始测试文件,只保留测试文件的加密版本。

使用 AES 执行加密。

示例:CryptoLocker

StrongCryptorNet

此场景模拟多种类型的勒索软件执行的攻击。对于每个测试文件,RanSim 都会创建一个新的测试文件,其中包含原始测试文件的加密内容。然后,RanSim 会删除原始测试文件。

使用 AES 执行加密。在此场景中,RanSim 还会尝试在端口 23054 上创建到 IP 地址 127.0.0.1 的 HTTP 连接,以便发送加密密钥。

示例:具有指挥与控制服务器通信的 CryptoLocker 变体

ThorVariant

此场景模拟 Thor 勒索软件的变体。此场景仅模拟 Thor 感染文件的方法,而非其加密算法。

示例:Thor

VirlockVariant

此场景模拟复杂的勒索软件。此场景依赖于等待另一个场景首先开始的“监视器”进程。然后,如果另一个场景被阻止,此场景将重新创建另一个场景并重新启动场景。

示例:Virlock

WeakCryptor

此场景模拟使用弱类型加密执行的攻击。对于每个测试文件,RanSim 都会创建一个新的测试文件,其中包含测试原始文件的加密内容。然后,RanSim 会删除原始测试文件。

在此场景中,通过使用 GZip 压缩原始文件内容来模拟加密。然后,结果的第一个字节 0x1F 会被替换为 0x00。

示例:TeleCrypt

误报场景

除了 23 个勒索软件场景外,RanSim 还会在您的计算机上运行两个误报场景。误报是指被错误标记为恶意并被端点保护软件阻止的文件或程序。

RanSim 的两个误报场景称为 ArchiverRemover。如果您的端点保护软件阻止其中任何一个场景,那么您在 RanSim 中的 Incorrectly Blocked 结果将会增加。如需查看结果的更多信息,请参阅下面的分析您的 RanSim 结果部分。

如果误报场景被阻止,您的 RanSim 结果可能无法准确衡量您的端点保护软件的有效性。

重要提示:不幸的是,我们无法阻止您的端点保护软件阻止误报场景。

分析您的 RanSim 结果

RanSim 运行完所有勒索软件和误报场景后,您可以在 KnowBe4 RanSim 窗口中查看您的结果。

在窗口左上角的 VulnerableNot Vulnerable Incorrectly Blocked 框中,您可以查看每种状态的场景数量。理想情况下,您的结果将显示 0/23 Vulnerable 场景、23/23 Not Vulnerable 场景和 0/2 Incorrectly Blocked 场景。

KnowBe4 RanSim 窗口中,您还可以查看圆形图和表格,其中包含您的结果的更多信息。圆形图显示有关发现的易受攻击文件类型的信息,例如文档或图片。表格显示有关每个场景的信息,包括场景的名称和状态、场景的描述以及加密测试文件的文件路径。您还可以单击 Scenarios 部分右上角的 Export to CSV 链接以下载 CSV 文件。此 CSV 文件包含有关您的 RanSim 结果的信息。

本文是否有帮助?

9 人中有 6 人觉得有帮助

未找到您需要的内容?

联系支持人员