【安全资讯】RansomHouse勒索软件升级加密技术，采用多层数据处理增强攻击能力

概要：

勒索软件即服务（RaaS）组织RansomHouse近期对其加密器进行了重大升级，从简单的单阶段线性技术转向更复杂的多层处理方法。这一升级不仅提升了加密强度和速度，还增强了在现代目标环境中的可靠性，为攻击者在加密后的谈判中提供了更强筹码。此次技术迭代标志着勒索软件正朝着更高效、更隐蔽的方向发展，对全球网络安全构成新的挑战。

主要内容：

RansomHouse的最新加密器变种名为“Mario”，其核心升级在于从单次文件数据转换转变为两阶段转换，并利用一个32字节的主密钥和一个8字节的辅助密钥。这种双密钥机制显著增加了加密熵，使得部分数据恢复变得更加困难，从而提升了勒索的成功率。

另一项重要改进是引入了新的文件处理策略，采用动态分块大小（阈值为8GB）和间歇性加密技术。根据Palo Alto Networks Unit 42的研究报告，这种非线性处理方式、复杂的数学运算来确定处理顺序，以及根据文件大小采用不同方法，都使得静态分析变得更加困难。

此外，“Mario”在内存布局和缓冲区组织方面也进行了优化，采用了更高的复杂度，为每个加密阶段或角色使用了多个专用缓冲区。升级后的版本还会打印更详细的文件处理信息，而旧版本仅声明任务完成。加密后的文件被重命名为“.emario”扩展名，并在所有受影响的目录中留下勒索说明（How To Restore Your Files.txt）。

Unit 42指出，RansomHouse的加密升级令人担忧，标志着“勒索软件发展中一个令人不安的轨迹”，增加了解密难度，并使静态分析和逆向工程更具挑战性。该组织虽在攻击量上属于中层级，但其持续开发高级工具的策略表明，其重点在于效率和规避检测，而非单纯扩大攻击规模。