LockBit v2.0 Ransomware (.lockbit / LockBit_Ransomware.hta + Restore-My-Files.txt) - 영상

악성 파일 생성 위치 :
- <드라이브 문자>:\7D68A5BF.lock
- C:\Users\%UserName%\Desktop\LockBit_Ransomware.hta

주요 특징 :
- 오프라인 암호화(Offline Encryption)
- EFI 시스템 파티션(Y:) + 복구/시스템 예약 파티션(Z:) 드라이브 표시 및 내부 파일 암호화
- 특정 프로세스(Defwatch.exe, RAgui.exe, sqlmangr.exe, supervise.exe, winword.exe, wxServer.exe 등) 실행 차단
- 특정 서비스(isqlplussvc, msftesql-Exchange, mysqld, sqlagent, sqlbrowser, sqlmangr 등) 중지
- 시스템 복원 무력화(vssadmin delete shadows /all /quiet, wmic shadowcopy delete, bcdedit /set {default} bootstatuspolicy ignoreallfailures, bcdedit /set {default} recoveryenabled no, wmic SHADOWCOPY /nointeractive)
- 이벤트 로그 삭제(wevtutil cl application, wevtutil cl security, wevtutil cl system)
- 바탕 화면 배경(C:\Users\%UserName%\AppData\Local\Temp\<Random>.tmp.bmp) 변경
- 인쇄 기능을 이용한 랜섬웨어 메시지 출력
- WOL (Wake-on-LAN) 기능을 통한 장치 깨우기