在本文中，您将找到有关我们 RanSim 工具的常见问题解答。

有关 RanSim 的通用信息，请参阅我们的 RanSim 产品手册。

通用信息

1. RanSim 是否会模拟真正的勒索软件攻击的行为？有哪些具有类似行为的真正勒索软件的示例？

   会，RanSim 会模拟真正的勒索软件行为，但也存在细微差别。例如，我们在 RanSim 中使用的加密密钥和算法与真正勒索软件中使用的加密密钥和算法不同。

   有关 RanSim 勒索软件场景和误报场景的更多信息，请参阅我们的 RanSim 产品手册。

2. RanSim 会收集有关我计算机的任何信息吗？

   RanSim 收集的唯一信息是本地磁盘上包含可能容易受到真正勒索软件攻击的扩展名的文件数量。

3. 在 KnowBe4 RanSim 结果窗口中，已执行标签代表什么意思？此标签与 Vulnerable 或 Not Vulnerable 标签有何不同？

   已执行标签表示端点保护软件未阻止的误报场景。如果您的端点保护软件工作正常，已执行标签将显示在两个误报场景旁。

   Vulnerable 和 Not Vulnerable 标签表示勒索软件场景的结果，而不是误报场景的结果。Vulnerable 标签将显示在任何未通过 RanSim 测试并且可能容易遭受真正的勒索软件攻击的勒索软件场景旁。Not Vulnerable 标签将显示在任何通过 RanSim 测试并且不会受到真正的勒索软件攻击的勒索软件场景旁。

4. 我能否使用 RanSim 测试自己的文件？例如，我能否测试自己的文档或照片？

   可以，您可以在首次 RanSim 扫描后测试您自己的文件。

   如需测试您自己的文件，请按照以下步骤操作：

   1. 在 KnowBe4 RanSim 窗口的右上角，点击 或者，点击此处将您自己的测试文件复制到测试文件夹。 部分中的 点击此处。
   2. 出现提示后，选择要复制到 %systemdrive%\KB4\Newsim|DataDir\TestFiles 文件夹的文件。
   注意：您最多可以添加 50 个文件。每个文件的文件大小限制为 10 MB。
   重要提示：确保您是复制这些文件，而非移动文件。如果以后卸载 RanSim，%systemdrive%\KB4\Newsim|DataDir\TestFiles 文件夹中的所有文件都将被删除。

   复制文件并将其添加到测试文件夹后，您可以对这些文件运行额外的 RanSim 扫描。

5. 当我使用 RanSim 时，会创建任何网络连接吗？如果会，这些网络连接的用途是什么？

   有一个 RanSim 勒索软件场景会试图在端口 23054 上打开至 127.0.0.1 的 HTTP 连接，以发送包含加密密钥的消息。

防病毒软件

1. 我的防病毒软件将 SimulatorSetup.exe、MainStarter.exe、Collector.exe 或 SimulatorSetup.exe 文件标记为恶意文件。我应该怎么办？

   这些文件不包含危险代码，应允许其运行。您可以将其视为误报。但是，它们不会显示在您的误报结果中。关于这些文件的更多信息，请参见下表：

   • SimulatorSetup.exe:该文件用于安装 RanSim。
   • Ranstart.exe:该文件为 RanSim 界面。
   • MainStarter.exe:该文件用于准备测试环境并启动 RanSim 情景。
   • Collector.exe:该文件收集各模拟的结果。

   如果文件被标记为恶意文件，某些防病毒软件可能会向您发出警告。如果您收到警告，您可以选择运行、隔离或阻止文件。其他防病毒软件可能会自动阻止和隔离文件。详情如下：

   • 如果您的 MainStarter.exe 文件或 Collector.exe 文件在首次 RanSim 扫描之前被隔离，则 RanSim 将在扫描开始时尝试重新创建这些文件。如果文件再次被隔离，系统将提示您至少有一个文件丢失，并建议您确保它们被允许在您的计算机上运行。
   • 如果您的 MainStarter.exe 文件或 Collector.exe 文件在 RanSim 扫描期间被隔离，则扫描将被取消。RanSim 将尝试重新创建文件，并建议您再次扫描。如果文件再次被阻止，RanSim 将不会尝试重新创建文件。相反，系统会要求您确保允许文件运行，然后重新启动 RanSim 以再次扫描。
2. 我的防病毒软件没有将 MainStarter.exe 文件或 SimulatorSetup.exe 文件标记为恶意文件。但是，在 RanSim 扫描期间，我的防病毒软件将一个或多个测试文件标记为恶意文件。我应该怎么办？

   这是正常现象。如果您的防病毒软件将测试文件标记为危险或恶意文件，则意味着您的防病毒软件工作正常。如果您的防病毒软件在 RanSim 扫描期间阻止或隔离测试文件，则您的防病毒软件可能会在真正攻击期间成功阻止或隔离勒索软件。

3. 如果我的防病毒软件将我的 RanSim 安装文件标记为恶意文件会怎样？

   我们测试的大多数防病毒软件都不会将 RanSim 安装文件标记为恶意文件。但是，如果该文件被标记为恶意，您应该将该文件添加到您的防病毒软件的白名单中。然后，您可以尝试再次安装 RanSim。

4. Windows 安全将我的 ransim.zip 文件标记为恶意文件，不允许我打开该文件。我应该怎么办？

要打开此文件，您可以将排除项添加到您的 Windows 安全设置。有关详细信息，请参阅 Microsoft 文章向 Windows 安全添加排除项。

RanSim 文件

1. 在我安装 RanSim 时，我的 RanSim 文件将位于何处？

   所有文件都将位于安装文件夹 c:\KB4\Newsim 或 %systemdrive%\KB4\Newsim 中。

   如果您卸载 RanSim，安装文件夹将从您的计算机中删除。

2. 哪些子文件夹将位于我的 \KB4\Newsim 安装文件夹中？

   如需了解位于 \KB4\Newsim 安装文件夹中的子文件夹，请参见下表：

   子文件夹名称	子文件夹描述
   \Newsim\DataDir	该子文件夹代表 RanSim 创建的模拟环境。
   \Newsim\DataDir\TestFiles	该子文件夹包含用于 RanSim 模拟的测试文件。
   \Newsim\DataDir\MainTests\xx	每个 RanSim 场景都有一个包含相关测试文件的子文件夹。每个场景的子文件夹都分配了一个编号。 有关 RanSim 场景的更多信息，请参阅我们的 RanSim 产品手册。
   \Rassim\DataDir\Tests\xx-Tests	每个 RanSim 场景都有一个子文件夹，其中包含来自该场景的 \Newsim\DataDir\MainTests\xx 测试文件的测试文件副本。 有关 RanSim 场景的更多信息，请参阅我们的 RanSim 产品手册。

3. RanSim 场景使用什么文件扩展名？

   RanSim 场景使用 .cxp 文件扩展名。

4. 创建了哪些注册表项？它们位于我的注册表中的什么位置？如果我卸载 RanSim，这些注册表项会被删除吗？

   除了由 msinstaller 管理的任何条目外，RanSim 将创建 HKEY_CURRENT_USER\SOFTWARE\KnowBe4 Ran Simulator 注册表项。如果您卸载 RanSim，此注册表项将被删除。

5. 在我使用 RanSim 时是否会生成任何日志文件？如果会，是否会将任何条目添加到 Windows 事件日志中？

   在 RanSim 日志目录中，有一些包含内部信息的 CSV 文件。但是，RanSim 确实会在 Windows 事件日志中添加一些条目。