Mit diesen beiden Skripten lesen wir den in der Firmware hinterlegten Windows Aktivierungsschlüssel aus.

Über eine Cim-Instance

(Get-CimInstance -Query ‘select * from SoftwareLicensingService’).OA3xOriginalProductKey

Über das WMI-Object

(Get-WmiObject -Query ‘select * from SoftwareLicensingService’).OA3xOriginalProductKey

https://www.der-windows-papst.de/2020/01/23/efs-ransomware-verschluesselt-daten-mit-gefaelschtem-zertifikat/