부분 암호화를 사용하는 Play 랜섬웨어

2022년 처음 등장한 Play 랜섬웨어가 최근까지도 꾸준히 유포되면서 관련 피해 사례가 발견되고 있다. 해당 랜섬웨어는 암호화 과정에서 파일 크기에 따른 부분 암호화를 이용해 처리 속도를 단축하고 보안 프로그램의 탐지를 방지한다. 또한, 암호화가 완료된 파일의 끝에 일정한 크기의 데이터 구조를 추가해 해당 파일의 암호화 유무를 확인하는 파일 마커와 암호화 관련 정보를 저장한다.

 

 

1. 암호화 결과

Play 랜섬웨어는 이동식 드라이브와 네트워크 드라이브를 포함한 모든 드라이브를 대상으로 파일을 암호화한다. 암호화된 파일은 파일명 뒤에 “.PLAY” 확장자를 추가하고 공격자의 이메일 주소가 포함된 내용과 함께 “ReadMe.txt”라는 이름의 랜섬노트를 생성한다.

 

[그림 1] 암호화 결과 및 랜섬노트

 

단, 암호화 대상에서 Windows 폴더, 실행 파일 및 부트 매니저 등 운영체제 동작에 영향을 줄 수 있는 파일과 “.PLAY” 확장자 및 랜섬노트는 제외한다.

 

[표 1] 암호화 제외 대상

 

 

2. 암호화 방식

Play 랜섬웨어는 암호화 대상 파일의 크기에 따라 서로 다른 암호화 방식을 적용한다. 파일 크기가 0x500000 바이트 이하이면 전체 암호화를 수행하고 이를 초과하면 부분 암호화 방식을 적용한다. 암호화는 0x100000 바이트 크기의 청크(Chunk) 단위로 진행하며, CreateFile과 ReadFile을 사용해 데이터를 읽은 후 암호화된 데이터를 WriteFile로 저장하는 파일 처리 방식을 사용한다.

 

[표 2] 암호화 방식

 

[그림 2]는 [표 2]에서 설명한 암호화 방식을 시각적으로 나타낸 것이다. 파일이 0x500000 바이트 이하이면 최대 5개의 청크가 생성되고 0x100000 바이트를 초과한 파일은 생성된 청크들이 순차적으로 암호화된다. 0x500000 바이트를 초과하는 파일은 처음과 끝 부분만 청크 단위로 암호화하는 부분 암호화 방식이 적용된다. 암호화 중 생성된 마지막 청크는 0x10 바이트의 배수에 맞춰 패딩을 추가하고 패딩의 길이는 파일 끝에 암호화 정보와 함께 저장된다.

 

[그림 2] 암호화 방식 도식화

 

다음으로 각 청크를 암호화할 때는 AES-256-CBC 알고리즘이 사용된다. 암호화에 필요한 AES 키와 IV(Initial Vector)는 윈도우 CNG(Cryptography API: Next Generation) API에 포함된 BCrypt.h 헤더 파일의 BCryptGenRandom 함수를 이용해 난수 형태로 생성된다. 이 과정에서 암호화에 사용된 AES 키와 IV는 공격자가 생성해둔 RSA 공개키로 다시 암호화해 키 정보를 숨긴다.

 

[그림 3] 암호화 알고리즘

 

암호화가 완료되면 파일 끝에 파일 마커와 암호화 정보를 저장하는 0x428 크기의 데이터 구조를 추가한다. 파일 마커는 해당 파일의 암호화 유무를 확인하는 용도로 File_Marker_Head를 xxhash 알고리즘으로 해싱한 값과 File_Marker_Tail 값이 일치하면 암호화된 파일로 판단한다. 또한, 데이터 구조는 대용량 파일과 부분/전체 암호화를 구분하는 플래그, 청크 정보 및 암호화 키 등 복호화에 필요한 정보를 저장한다. 단, 파일을 암호화하는데 사용된 AES 키는 다시 RSA 공개키로 암호화되기 때문에 공격자의 개인키가 있어야 복호화가 가능하다.

 

[그림 4] 암호화 정보

 

Play 랜섬웨어는 AES를 이용해 파일을 암호화하고 암호화에 사용된 키 값을 다시 RSA 공개키로 암호화하기 때문에 공격자의 개인키 없이는 복호화가 불가능해 주의가 필요하다. 따라서, 랜섬웨어로 인한 피해를 줄이기 위해서는 출처가 불분명한 파일의 다운로드 및 실행을 지양하고 주기적으로 파일을 백업해 안전하게 보관할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 6.0 진단 및 치료 화면