Dridex银行木马大约在2014年开始出现，而且在多次针对财政组织进行的攻击中起到了不小的作用，犯罪分子也曾对它进行过多次升级。

在2017年4月，数以百万的用户成为了一起利用微软Word文档零日漏洞的攻击行动的目标，目的是为了传播Dridex木马软件。在此次事件的数日之前，Forcepoint的安全工作人员已经发现了一起利用FTP服务器的漏洞传播垃圾邮件的行动，而这次行动的目的也是传播Dridex木马。

今日，ESET的安全工作者们认为勒索软件FriedEx（又名BitPaymer）也是研发出Dridex木马的黑客小组的作品。

FriedEx于去年六月被首次发现，在八月该勒索软件攻击了苏格兰的国民保健医院。该勒索软件倾向于攻击高活跃度的目标，研究者们认为它是通过Remote Desktop Protocol(RDP,远程桌面协议)来进行暴力攻击的。它对每个文件使用随机生成的RC4密钥，然后对密钥使用一个硬编码的1024位的RSA公钥进行加密。

对FriedEx的代码进行分析后发现，它与Dridex的代码有许多相似之处。

举例来说，Dridex与FriedEx在代码中生成UserID的部分存在一段共享的方法；专家们还注意到在两个恶意软件的代码内，一些方法的顺序上是一致的。这很有可能是因为这两个恶意软件是在相同的基础代码上开发而成。

ESET的专家们表示：

它把所有系统API的请求解析都在操作中完成，使用hash的方式搜索它们，将它们以字符串的形式存储并加密，查找注册表钥匙并使用hash赋值。这使得代码看起来是静态的并且十分低调不容易被发现，需要经过深度的分析才能明白这些恶意软件在进行什么样的操作。

Dridex与FriedEx还使用着相同的打包器，但专家们认为这并不是个好的依据，因为其他许多恶意软件例如QBot，Emotet以及Ursnif也使用同样的打包器。 

不过研究人员们还发现了另一相似之处，就是关联PDB（程序数据库）的路径。PDB路径指向了一个包含debug标志的文件，而这两个恶意软件的PDB路径都是由Visual Studio2015编译的。此外研究人员们还分析出代码内的时间戳显示它们是在同样的日期内被编译的，而这可能并不是偶然。

专家们总结认为FriedEx正是由Dridex的开发团队研发的，他们认为这些犯罪团伙不仅会继续改善这个银行木马软件，而且会赶上这股恶意软件的“大流”，研发出他们自己的勒索软件。