文章总结： RansomHouse勒索软件升级加密工具至Mario变种，采用多层数据处理及双密钥技术增强加密效果。新工具通过动态数据块与间歇式加密规避检测，大幅提升逆向分析与数据恢复难度。该变种针对VMwareESXi虚拟机，运行更稳定高效，标志着威胁组织更注重攻击效率而非规模，需加强防御警惕。 综合评分： 82 文章分类： 恶意软件,威胁情报,逆向分析,应急响应,数据安全

RansomHouse完成加密工具升级：采用多层数据处理技术

胡金鱼

嘶吼专业版

2025年12月26日 14:00 北京

RansomHouse勒索软件即服务（RaaS）近期完成了加密工具的升级，将原本相对简单的单阶段线性加密技术，替换为更复杂的多层加密方法。

实际应用中，此次升级带来了更强的加密效果、更快的加密速度，以及在现代目标环境中更稳定的运行表现，让威胁组织在加密完成后的谈判环节拥有更大的筹码。

RansomHouse于2021年12月以数据勒索网络犯罪组织的形式成立，后续在攻击中引入了加密工具，并开发出名为MrAgent的自动化工具，可同时锁定多台VMware ESXi虚拟机监控程序。

此前有报道称，该威胁组织曾针对日本电商巨头Askul公司，同时使用了多款勒索软件家族的工具发起攻击。

根据研究人员发布的新报告显示，最新的加密工具变种代号为“Mario”。

新型“Mario”加密工具

RansomHouse的这款最新加密工具变种，将原本的单轮文件数据转换方式，改为基于双密钥的两阶段转换方式——分别使用一个32字节的主密钥与一个8字节的副密钥。

该方式提升了加密的熵值，增加了部分数据恢复的难度。

Mario生成两个加密密钥

第二项重要升级是引入了新的文件处理策略：以8GB为阈值设置动态数据块大小，同时采用间歇式加密。

由于该策略具备非线性特征、通过复杂算法确定处理顺序，且会根据文件大小采用不同的处理方式，静态分析的难度被大幅提升。

Mario的另一项值得关注的升级是优化了内存布局与缓冲区组织方式，同时提升了复杂度：现在每个加密阶段或功能模块都有独立的专用缓冲区。

最后，与仅会声明任务完成的旧版本相比，升级后的加密工具会输出更详细的文件处理信息。

该新型变种仍以虚拟机文件为攻击目标，会将加密后的文件重命名为带.emario后缀的格式，并在所有受影响的目录中留下勒索信《How To Restore Your Files.txt》。

最新RansomHouse变种掉落的赎金信

RansomHouse的加密工具升级情况令人担忧，这标志着“勒索软件发展的危险趋势”：解密难度有所提升，静态分析与逆向工程的难度也进一步加大。

RansomHouse是运营时间较长的RaaS平台之一，但攻击规模仍处于中等水平。其持续开发高级工具的行为，表明该组织采取了更注重攻击效率与规避检测、而非扩大攻击规模的策略，对于人们来说更需警惕对待。

参考及来源：https://www.bleepingcomputer.com/news/security/ransomhouse-upgrades-encryption-with-multi-layered-data-processing/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼《RansomHouse完成加密工具升级：采用多层数据处理技术》