Für Elcomsoft System Recovery 6.0 ist ein großes Update mit erweiterter Unterstützung für die Entschlüsselung von Festplatten erschienen. Das Update ermöglicht die vollständige Entschlüsselung von Laufwerken, indem über ein Flash-Laufwerk gebootet wird. Das Tool erkennt dabei automatisch die Verschlüsselung der gesamten Festplatte (z.B. bei Verschlüsselung durch BitLocker), und es extrahiert und speichert alle Informationen, die erforderlich sind, um Kennwörter auf verschlüsselten Datenträgern per Brute Force-Angriff zu extrahieren. Außerdem kann das Tool die Ruhezustandsdatei (hyberfil.sys) auf dem Flash-Laufwerk speichern, um anschließend den Schlüssel für den Zugriff auf das verschlüsselte Volume zu extrahieren.

Elcomsoft System Recovery wurde aktualisiert und bietet nun eine bessere Unterstützung für verschlüsselte Volumes. Im Vergleich zu herkömmlichen Workflows wird dadurch schneller Zugriff auf verschlüsselte Beweise ermöglicht. Wenn Sie vom ESR-Flashlaufwerk aus starten, erkennt das Tool automatisch die Verschlüsselung der gesamten Festplatte, und es extrahiert und speichert alle Informationen, die erforderlich sind, um Kennwörter auf verschlüsselten Datenträgern per Brute Force-Angriff zu extrahieren.

Elcomsoft System Recovery kann die Verschlüsselung der gesamten Festplatte mit BitLocker-, PGP- und TrueCrypt / VeraCrypt-Containern automatisch erkennen. Dabei werden die für den Angriff auf das Verschlüsselungs-Kennwort erforderlichen Datenautomatisch extrahiert und auf dem Flash-Laufwerk gespeichert, von dem aus gebootet wurde. Die Daten können problemlos in Elcomsoft Distributed Password Recovery importiert werden, sodass schnell mit dem Angriff auf den Verschlüsselungs-Mechanismus der gesamten Festplatte begonnen werden kann. Dieser Arbeitsablauf benötigt erheblich weniger Zeit im Vergleich zum Imaging der Festplatte oder zum Extrahieren der Werte aus dem Festplatten-Image. Auf diese Weise kann die Extraktion von Daten im Rahmen von forensischen Untersuchungen sehr früh gestartet werden.

Kennwörter für die Verschlüsselung der gesamten Festplatte sind oft schwer zu knacken. Eine schnellere Alternative zum "Brute-Forcing" des Kennworts ist in dem Fall sehr wahrscheinlich umsetzbar, in dem der Computer vom Benutzer mindestens ein Mal in den Ruhezustand versetzt wurde (entweder mit der Option "Ruhezustand" oder "Energie Sparen"), während an der verschlüsselten Partition gearbeitet wurde. In diesem Fall ist der Entschlüsselungs-Key mit hoher Wahrscheinlichkeit in der Ruhezustandsdatei des Systems zu finden. Dieser Key kann schnell extrahiert und verwendet werden, um das verschlüsselte Volume mit Elcomsoft Forensic Disk Decryptor ohne lange Angriffe sofort verfügbar zu machen oder zu entschlüsseln.

Darüber hinaus wurde Elcomsoft System Recovery aktualisiert, um die neuesten Windows-Builds zu unterstützen. Außerdem werden nun das Windows 10-"Oktober-Update" (Version 1809) sowie Windows Server 2019 offiziell unterstützt. Das Update ermöglicht es Benutzern auf Systemkennwörter zuzugreifen sowie Kennwort-Hashes aus den neuesten Windows-Versionen zu erstellen.

Es gibt zahlreiche andere Verbesserungen. Das vollständige Änderungsprotokoll beinhaltet:

• Neu: Automatische Erkennung der vollständigen Festplatten-Verschlüsselung
• Neu: Automatische Extraktion der Daten, die zur Wiederherstellung der Kennwörter verschlüsselter Container erforderlich sind (BitLocker, PGP, TrueCrypt / VeraCrypt)
• Neu: die Möglichkeit, due "hiberfil.sys" auf dem Flash-Laufwerk zu speichern (ermöglicht das Extrahieren oder Entschlüsseln verschlüsselter Volumes)
• Unterstützung für die neuesten Builds von Windows 10 wurde hinzugefügt
• Zusätzliche Unterstützung für Windows Server 2019
• Unterstützung für benutzerdefinierte Wörterbücher (Wortlisten) mit Mutationen hinzugefügt
• Möglichkeit, nach SYSKEY-Passwörtern zu suchen (zusätzlich zum Zurücksetzen von Passwörtern)