[Samodelkin]

Главное как можно меньше старайтесь записывать новые данные на HDD чтобы они не затирали собой файлы помеченные как удалённые. Новые файлы часто создаются в другом месте, поэтому шансы восстановить старые выше. Кстати если это SSD, то они всегда новые данные записывают в новую область, чтобы память меньше изнашивалась, таким образом можно прочитать "удалённые" данные, даже если файл был перезаписан или изменён без создания нового, но данная фича аппаратного уровня и я не знаю может ли софт иметь к ней доступ.

Файловая система NTFS является журналируемой, так что если вы примерно знаете когда произошла шифрация, можно посмотреть журнал на предмет создания маленьких файлов в которых может содержаться ключ. Особенно шансы велики если компьютер отключен от сети, т. к. зловред должен где-то сохранить ключ прежде чем его передать на сервер и удалить. Однако если генерация ключа происходила на сервере по запросу, то наверное его узнать никак нельзя, придётся рассчитывать на восстановление данных.

Кстати если вы удаляли зловреда с помощью антивируса, он мог быть помещён в карантин и его можно восстановить и проанализировать.