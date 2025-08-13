Новинка уже активно используется несколькими группировками-вымогателями для отключения систем EDR (Endpoint Detection and Response) перед запуском шифровальщика.

Инструмент стал эволюцией ранее известного EDRKillShifter, созданного группой RansomHub, но теперь он более эффективен и универсален. Для маскировки применяются методы обфускации, антианализ, а иногда — даже подписанные драйверы (украденные или скомпрометированные).

В одном случае вредоносный код был внедрен в легитимную утилиту Clipboard Compare от Beyond Compare.

Чаще всего модификация выполняется уже после получения доступа к системе жертвы, либо через поддельные инсталляторы, выдаваемые за официальные.

Sophos рекомендует включать защиту от несанкционированных изменений (tamper protection), контролировать права администрирования и своевременно обновлять системы, т.к Microsoft начала отзывать подписи у устаревших драйверов.