Zararlı yazılımlar tarafından da hedef alınan Windows SYSKEY parolasını nasıl sıfırlayacağınızı ya da kurtaracağınızı bu rehberimizde anlatıyoruz.
22 sene önce Microsoft, Windows’u daha güvenli hale getirmek için bir güvenlik katmanı getirdi. Kısaca SYSKEY olarak bilinen SAM Lock Tool, Windows güvenlik hesap yöneticisinin (SAM) veri tabanı içeriğini şifreliyor. Şifrelemede ilk zamanlar 128-bit RC4 şifreleme anahtarı kullanılıyordu.
Kullanıcılar, SAM veri tabanında depolanan Windows hesabı doğrulama bilgilerini koruyan parolayı kendileri belirleyebiliyorlardı. Eğer SYSKEY parolası bu şekilde ayarlandıysa, Windows bu parolanın açılışta giriş ve parola ekranı görüntülenmeden önce girilmesini istiyordu.
SYSKEY en güçlü şifrelemeyi kullanmıyordu, ancak ilk olarak SAM veri tabanının içeriğini çözmeden Windows giriş ve parola bilgilerini kırmak için yapılan girişimler başarısız oluyordu. Bu yüzden hackerlar özellikle SYSKEY parolasını Windows’un hesap bilgilerine ulaşmadan önce kırmaya çalışıyordu. SYSKEY parolası bilinmeden kullanıcıların sistemi tamamen boot edilemiyordu. Ransomware ve çeşitli zararlı yazılımlar da bu özelliği kullanarak kullanıcıların bilgisayarını kilitliyordu.
SAM veri tabanı şifrelemesi yüzünden kullanıcılar geçmiş bir yedeğe ya da sistem geri yükleme noktasına ulaşmadan Windows’u yükleyerek ya da onararak bu sorunu gideremiyordu. Bu yüzden Microsoft SYSKEY parolasını Windows 10 Sürüm 1709 ve Windows Server 2016 Sürüm 1709 ile devre dışı bıraktı ve kullanıcıları daha güvenli olan BitLocker şifrelemesine geçmek zorunda bıraktı. Ancak daha eski sistemler halen SYSKEY ransomware saldırılarına maruz kalabiliyor.
SYSKEY ransomware ve destek hattı scam saldırılarına maruz kalan kullanıcılar SYSKEY parolalarını sıfırlayarak ya da kurtararak sistemlerini kullanmaya başlayabiliyorlar. Elcomsoft System Recovery aracı da sistemin normal boot işlemine devam edebilmesi için SYSKEY anahtarlarını sıfırlama ya da çözme yeteneğine sahip.
SYSKEY Parolasını Kaldırma
Zararlı yazılımlar bir sistem parolasını etkinleştirdiğinde tüm SAM kayıtları şifreleniyor. Bu yazılımlar genellikle tüm sistem geri yükleme noktalarını da kaldırdığı için Windows’u çalışır hale getirmek oldukça zor hale geliyor. Bu tarz yazılımlardan etkilenen bilgisayarlar açıldığı zaman aşağıdakine benzer bir yazıyla karşılaşıyorlar.
“This computer is configured to require a password in order to start up.”
Elcomsoft System Recovery yazılımı da otomatik olarak SYSKEY korumasını sıfırlamaya çalışıyor. SYSKEY parolasının doğrudan kaldırılması Windows boot sürecini bozabiliyor. Bu yüzden Elcomsoft, SYSKEY parolasını sıfırlamadan önce bir takım güvenlik kontrolü yaparak sistemin herhangi bir sorunla karşılaşıp karşılaşmayacağını belirliyor.
Bu bağlantıyı kullanarak yazılımı satın alıp yükledikten sonra boot edilebilir bir medya oluşturuyorsunuz. Yükleme medyasını oluşturduktan sonra bilgisayarınızı bu araç ile birlikte boot edin.
Elcomsoft System Recovery aracında Windows’un yüklü olduğu diski ve bölümü seçin ve Next‘e tıklayın.
SYSKEY parolasını kaldırma seçeneği “Miscellaneous” kategorisi altında yer alıyor. Bu seçeneği seçip Next‘e tıklayın.
SYSKEY seçeneğini işaretleyin ve Next‘e tıklayın.
Aracın SAM veri tabanını otomatik olarak taramasını sağlayın ya da isterseniz bulunduğu dizini tanımlayın.
Araç gerekli güvenlik kontrollerini yapacak ve bir sorunla karşılaşırsa sizi uyaracak. Parolayı sıfırlamak için “Search for SYSKEY plaintext password” seçeneğini işaretlemeden “Reset SYSKEY” seçeneğine tıklayın.
İşlem tamamlandıktan sonra bilgisayarınızı yeniden başlattığınız zaman Windows normal olarak başlatılmalı. Eğer işlem sırasında herhangi bir sorun saptanırsa aşağıdaki gibi bir uyarıyla karşılaşacaksınız.
Eğer bu uyarıya “No” derseniz tüm EFS şifreli dosya ve klasörlerdeki verilere erişimi kaybedeceksiniz. “Yes” seçeneğine tıklayarak öncelikle SAM, SYSTEM ve SECURITY kayıt defteri anahtarlarının yedeklerini alın.
SYSKEY Parolasını Öğrenme
Belirli sistem konfigurasyonlarında SYSKEY parolasını sıfırlamak işe yaramayabilir. SYSKEY parolasını kurtarıp öğrenmek ise daha güvenli bir yoldur ve olumsuz bir durumla karşılaşmanızı önler. Elcomsoft System Recovery aracı otomatik olarak ön belleğe alınmış SYSKEY parolasının olup olmadığını araştırır. Araç bu işlem için birçok kayıt defteri anahtarını, geçici dosyaları ve veri tabanlarını araştırır. Eğer araç başarılı olursa SYSKEY koruması risksiz şekilde kaldırılabilir.
SYSKEY parolasını kurtarmak için yukarıdaki adımları takip edin ancak aşağıdaki ekrana geldiğinizde “Search for SYSKEY plaintext password” seçeneğini işaretleyin. Hızlı ya da derin tarama yapılması arasında seçim yapabilirsiniz. “Recover SYSKEY” seçeneğine tıklayarak devam edin.
Araç, bilgisayarınızda SYSKEY parolasını tespit etmeye çalışacaktır. Eğer başarılı olursa anahtarı size bildirecektir. Bilgisayarı yeniden başlattığınız zaman bulunan parolayı girerek sistemi açabilirsiniz.
