为了勒索软体在加密受害电脑档案的过程不受干扰,骇客试图让防毒软体、EDR系统的运作停摆来达到目的,继研究人员揭露根据滥用的驱动程式,EDRKillShifter大致可分成两种,其中一个是名为RentDrv2的驱动程式,另一个则是已弃用的ThreatFireMonitor。
这个恶意程式执行的过程大致如下:首先,攻击者输入密码启动EDRKillShifter,该执行档便会解密名为BIN的档案,并于记忆体内执行;接著,恶意程式解压缩并执行最终有效酬载,此酬载将利用前述的驱动程式提升权限,然后企图停用正在执行的EDR处理程序及相关服务。