文章总结： 勒索软件团伙RansomHouse升级了其加密器，代号为Mario。该升级采用多层加密技术，使用主密钥和辅助密钥进行两阶段数据转换，并结合动态块大小和间歇性加密策略。这些改进显著增强了加密效果与速度，同时加大了数据恢复、静态分析和逆向工程的难度。此事件表明勒索软件正朝着更复杂、更注重规避检测的方向发展，对安全防御构成新的挑战。 综合评分： 100 文章分类： 恶意软件,威胁情报,漏洞分析

RansomHouse 通过多层数据处理升级加密技术

原创

ZM

暗镜

2025年12月21日 18:57 北京

#

RansomHouse 勒索软件即服务 (RaaS) 最近升级了其加密器，从相对简单的单阶段线性技术切换到更复杂的多层方法。

实际上，这些升级在现代目标环境中提供了更强大的加密效果、更快的速度和更高的可靠性，使威胁行为者在加密后的谈判中拥有更大的优势。

RansomHouse 于 2021 年 12 月成立，最初是一个数据勒索网络犯罪组织，后来在攻击中采用了加密器，并开发了一款名为 MrAgent 的自动化工具，可以同时锁定多个 VMware ESXi 虚拟机管理程序。

近日有报道称，威胁行为者利用多种勒索软件家族攻击了日本电子商务巨头 Askul Corporation。

Palo Alto Networks Unit 42的研究人员发布的一份新报告 进一步揭示了 RansomHouse 的工具集，包括其最新的加密器变种，名为“Mario”。

新的“马里奥”加密器

RansomHouse 的最新加密器变种从单次文件数据转换切换到两阶段转换，利用两个密钥，一个 32 字节的主密钥和一个 8 字节的辅助密钥。

这种方法会增加加密熵，使部分数据恢复更加困难。

第二个重大升级是引入了一种新的文件处理策略，该策略使用动态块大小，阈值为 8GB，并采用间歇性加密。

Unit 42表示，由于其非线性、使用复杂的数学来确定处理顺序以及根据每个文件的大小使用不同的方法，这使得静态分析更加困难。

“Mario”的另一个显著升级是更好的内存布局和缓冲区组织，以及更高的复杂性，现在每个加密阶段或角色都使用多个专用缓冲区。

最后，升级后的加密器版本现在可以打印更详细的文件处理信息，而旧版本仅声明任务完成。

较新的变种仍然以 VM 文件为目标，并将加密文件重命名为“.emario”扩展名，并在所有受影响的目录中留下勒索信息（如何恢复您的文件.txt）。

Unit 42得出结论，RansomHouse 的加密升级令人担忧，表明“勒索软件的发展轨迹令人担忧”，这增加了解密的难度，也使静态分析和逆向工程更加困难。

RansomHouse是运营时间较长的勒索软件即服务（RaaS）公司之一，但就攻击量而言，它仍然属于中等水平。该公司持续开发先进工具，表明其采取的策略侧重于效率和规避，而非规模。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM《RansomHouse 通过多层数据处理升级加密技术》