Esse ataque só funciona em sistemas Full-Disk Encrypted, ou requer que o volume seja montado no momento em que o ataque é realizado (ou quando o sistema hibernou pela última vez). o ataque funciona acessando a chave no ram, o que não seria possível no caso de um volume desmontado. Se a chave não puder ser encontrada na memória, ela tentará encontrá-la no hiberfil.sys, mas se o volume não foi carregado durante a última hibernação, a chave também não estará lá.
NOTE: If the target computer is turned off and the encrypted volume was dismounted during the last hibernation, neither the memory image nor the hiberfil.sys file will contain the encryption keys. Therefore, instant decryption of the volume is impossible. In this case, Passware Kit assigns brute-force attacks to recover the original password for the volume. http://www.lostpassword.com/hdd-decryption.htm
Portanto, use uma senha strong, desative a hibernação e não monte volumes na inicialização (monte somente sob demanda quando precisar e desmonte quando terminar) e você deverá estar bem protegido contra essa ferramenta.