В обновлении Elcomsoft System Recovery 5.40 добавлена поддержка Windows 10 October Update и Windows Server 2019. Кроме того, в новой версии ESR переработан механизм разблокировки системы посредством SYSKEY. Приложение попытается найти пароль SYSKEY и предупредит, если сброс блокировки может привести к нестабильной работе системы.
Новая версия Elcomsoft System Recovery включает поддержку октябрьского обновления Windows 10 October Update, а также Windows Server 2019. Пользователи продукта смогут восстанавливать системные пароли и извлекать базы данных учётных записей из самых свежих сборок Windows.
Основным нововведением Elcomsoft System Recovery 5.40 стала возможность поиска паролей SYSKEY по системным базам данных и временным записям. Если пароль SYSKEY будет найден, его можно будет отключить, не прибегая к процедуре сброса. Пользователи предыдущих версий продукта имели возможность сбросить пароль SYSKEY. Такой сброс – достаточно небезопасная операция, которая может привести к отказу системы от загрузки. В новой версии ESR мы добавили дополнительные проверки, позволяющие заранее определить вероятность возникновения проблем на этапе сброса или загрузки системы.
Пароли SYSKEY использовались в старых версиях Windows. При установке пароля SYSKEY он запрашиваться на этапе загрузки системы ещё до того, как будет запрошен пароль от учётной записи пользователя. С учётом возможности сброса пароля SYSKEY, польза этого метода сомнительна; многие пользователи становились жертвами мошенников, дистанционно устанавливавших данный пароль. В результате разработчики Microsoft исключили возможность установки пароля SYSKEY в операционных системах Windows 10 и Windows Server 2016 (сборка 1709). Пользователи более старых версий Windows всё ещё могут пострадать от действий мошенников. Elcomsoft System Recovery позволяет найти или сбросить пароли SYSKEY, восстановив работоспособность системы.
В ESR 5.40 используются более продвинутые атаки на пароли к учётным записям пользователя. Если у пользователя есть файлы, зашифрованные EFS, данные, зашифрованные DPAPI с привязкой к профилю пользователя (например, маркеры аутентификации для входа в «облачные» сервисы), пароли в некоторых браузерах и другие защищённые данные, сброс пароля от учётной записи приведёт к недоступности зашифрованной информации. В ESR 5.40 появилась возможность подключать и использовать любые пользовательские словари для перебора паролей. Атака по словарю может использовать до 4 уровней мутаций. В качестве словарей рекомендуем использовать известную информацию о пользователе или его пароли с других устройств.
Ссылки