由于 SYSKEY 保护是个相当老旧的技术,因此它不再安全。SYSKEY 勒索软件或 " 技术支持 " 诈骗者的受害者现在可以通过恢复或重置 SYSKEY 密码来恢复其系统,杜绝这类攻击。 Elcomsoft System Recovery 工具能够发现或重置 SYSKEY 密码,以恢复系统的正常启动操作。这也是我们第一次发布 Elcomsoft System Recovery 用户界面的屏幕截图。
删除 SYSKEY 密码
SYSKEY 加密是一个相对鲜为人知的功能,这也是被 " 技术支持 " 诈骗者和勒索软件主动利用该技术的原因。激活 SYSTEM 密码后,整个 SAM ..表配置单元都会被加密。这使得 Windows 很难恢复到工作状态,特别是如果攻击者删除了所有系统还原点后,恢复过程就更麻烦了。受到攻击后,受害者在尝试启动计算机时会看到这样的消息:" 此计算机配置为需要密码才能启动 "。
Elcomsoft System Recovery 可以尝试自动重置 SYSKEY 保护。由于直接删除 SYSKEY 密码可能会破坏 Windows 启动过程。因此,Elcomsoft System Recovery 会执行许多安全检查,以确定重置特定系统的 SYSKEY 密码是否会导致问题。
注意,在接下来的章节中,我们会假定你已经创建了包含 Elcomsoft System Recovery 5.40 或更高版本的可启动工具。
要删除未知的 SYSKEY 密码,请执行以下 7 步:
1. 使用 Elcomsoft System Recovery 工具将计算机启动到可启动的存储介质。根据计算机主板制造商的不同,你可能需要按 Del,F8,F11,F12 或其他键来调用一个特殊菜单以暂时覆盖启动顺序或进入 UEFI / BIOS 设置。
2. 在 Elcomsoft System Recovery 中,指定安装 Windows 的磁盘或分区,然后单击 " 下一步 "。
3. 删除 SYSKEY 密码的功能位于 Miscellaneous 选项下:
4. 选择 SYSKEY:
5. 选择 ESR 来自动搜索 SAM 数据库或是人工指定其位置:
