RansomHouse 新型勒索工具「Mario」技術分析：多層加密與反靜態分析策略

2025 年底，RansomHouse RaaS 系統推出了全新加密引擎「Mario」，取代了舊版單階段線性加密。該更新不僅提升了加密強度，亦加速了加密速度，並對靜態分析造成更大挑戰。以下將以「Mario」的核心機制、加密流程、文件處理策略以及對防護的影響為主，提供給資安與 IT 架構工程師深入的技術洞察。

1. Mario 加密引擎的設計哲學

傳統 RansomHouse 加密器採用單一線性變換：所有資料經過一次順序處理，輸出即為加密檔。此模式易於逆向與樣本比對，且在檔案尺寸較大時速度偏慢。Mario 改為雙階段、雙金鑰結構，並引入動態區塊選擇，目的是：

• 提升熵值，降低可辨識特徵；
• 縮短加密時間，減少被偵測的窗口；
• 針對不同檔案尺寸採用變化策略，提升反模式分析難度。

此設計與 2025 年底 PCRisk 報告所述「加密引擎升級」一致，強化了攻擊者的持續演化能力。

2. 雙金鑰雙階段加密流程

Mario 透過以下兩個關鍵步驟完成加密：

1️⃣ 第一步：32 位元主金鑰加密
   - 產生 256‑bit 主金鑰（KeyA）隨機種子
   - 對文件內容進行位移 + XOR 變換
2️⃣ 第二步：8 位元次金鑰加密
   - 產生 64‑bit 次金鑰（KeyB）作為校驗
   - 以變動區塊大小（64–1024 字節）進行加密
   - 每個區塊使用 KeyB 進行重複 XOR，並在區塊尾部插入校驗碼

第 1 步提供全域性混淆，第二步則以區塊級別進行細粒度加密，兩階段結合可產生高度混亂的輸出，降低靜態分析的匹配度。

3. 動態區塊與檔案尺寸策略

Mario 針對不同檔案尺寸採用不同的區塊大小與加密順序，主要參考以下規則：

• 小於 10 MB：區塊大小固定 512 B，循環加密 3 次；
• 10 MB–100 MB：區塊大小變動 256–1024 B，根據檔案偏移量隨機選擇；
• 大於 100 MB：區塊大小 1 KB–4 KB，並在每 64 KB 內插入隨機填充。

這種動態區塊策略使得即使攻擊者取得部分已加密檔案，也難以推導出完整的金鑰或解密流程，進一步提升了「反靜態分析」的難度。

4. 加密文件命名與擴展名變化

Mario 取代舊版「.lfs」擴展，改為「.emario」，並在加密檔內部加入隱藏的元資料塊，紀錄加密版本、金鑰指紋與檔案尺寸範圍。此舉不僅降低了傳統檔案掃描器的偵測概率，亦為攻擊者提供了更靈活的索引方式。

5. 針對 VM/ESXi 的攻擊優化

Unit 42 報告指出，Mario 在針對雲端或虛擬化環境時，會優先加密 VM 映像檔（.vmdk、.vhd、.vhdx）並將擴展名改為「.emario」。攻擊者透過這種方式，能在 Hyper‑visor 層面鎖定整個虛擬機，造成「整體服務中斷」的高影響。

對於基於 VMware、Hyper‑V 或 KVM 的環境，建議加強以下防範措施：

• 在管理接口上啟用 MFA，僅允許內部安全網段連線；
• 定期備份 VM 映像並離線存放；
• 部署端點偵測與回應（EDR）於虛擬化管理層，偵測異常加密行為。

6. 靜態與動態分析的挑戰

Mario 的雙金鑰及區塊策略，導致傳統靜態分析工具難以定位加密入口與關鍵常數。攻擊者還在加密過程中使用「間諜式加密」——在每個區塊末尾插入隨機填充，並以雲端算學規則決定填充長度，進一步混淆了樣本比對。

為應對此挑戰，建議安全團隊採用以下技術：

• 利用動態分析沙盒（如 Cuckoo、FireEye）觀察實際加密流程；
• 使用符號執行（symbolic execution）分析金鑰生成邏輯；
• 結合機器學習方法，建立「多層加密特徵」模型，用於異常偵測。

7. 事件回應與復原建議

若發現使用 Mario 加密的環境，建議執行以下步驟：

1. 隔離受感染節點，阻斷所有網路連線；
2. 使用備份檔案進行快速復原，避免支付贖金；
3. 分析加密檔案結構，提取金鑰指紋，與已知樣本比對（若有）以判斷是否為同一家庭變種；
4. 將受感染檔案提交安全機構（如 CERT、CISA）以獲取更進一步的攻擊指標。

8. MITRE ATT&CK 對應

• T1486 – 加密資料（Data Encrypted for Impact）
• T1021 – 遠端服務（Remote Services）
• T1105 – 旁路傳輸（Ingress Tool Transfer）
• T1070 – 監控消除（Indicator Removal on Host）
• T1136 – 事務偽造（Create Account）

參考資料與原文來源

• 🔗 原文來源: PCRisk – RansomHouse’s New Encryption Upgrades Stun
• 🔗 原文來源: vLABonline – RansomHouse 升級「Mario」加密器
• 🔗 原文來源: vLABonline – RansomHouse 升級「Mario」加密器（第二篇）

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。