Laptop PC preso na inicialização, formatado, agora dados irrecuperáveis, parece criptografado

Alguém me pediu para recuperar dados de um laptop (Sony Vaio), depois de um formato e reinstalar o Windows (Windows 8).

Antes disso, o computador estava com defeito: ele estava preso na inicialização, na tela de login, nunca chegou à área de trabalho, mesmo depois de um dia inteiro. O proprietário pediu a seu pai para consertá-lo, o que ele fez usando o procedimento de restauração de fábrica, uma vez que o computador não respondia completamente. Ela não disse a ele que tinha arquivos pessoais que não tinham backup.

Normalmente, em tal caso, a maioria dos dados antigos ainda pode ser recuperada. Examinei a unidade inteira com o R-Studio, depois o Photorec, mas os dois softwares de recuperação de dados confiáveis encontraram absolutamente nada além da instalação atual do Windows e dos softwares associados, nem um único traço das imagens pessoais que ela tinha armazenado por exemplo (as únicas imagens encontradas são imagens de arquivo do Windows ou dos softwares instalados).

Então eu abri o drive com o WinHex, para ver se havia sido completamente apagado por um formato de “baixo nível”: mas, segundo surpresa, a partição principal estava longe de vazia e apareceu cheia de dados aparentemente aleatórios. (Tão aleatório na verdade que não é compressível em tudo : como um teste, eu extraí três pedaços de 1048576 bytes (1MB), os compactei com WinRAR e 7Zip, os arquivos compactados resultantes tinham exatamente o mesmo tamanhos, dependendo do compressor usado, e um pouco maior que a fonte, 1048844 para os arquivos 7Z, 1048816 para os arquivos RAR - enquanto arquivos JPEG ou MP3, por exemplo, podem ser levemente comprimidos, em média 1-2%, apesar de serem já é altamente compactado.) Há mais de 400 GB, não há um único setor em "espaço livre" que pareça vazio, ou com qualquer padrão reconhecível, isso é realmente intrigante.

Então o que pode ser? Algum tipo de criptografia de unidade? Algum tipo de vírus, talvez um ataque de ransomware? O proprietário usa computadores em um nível básico e não se lembra de ter configurado uma criptografia de qualquer tipo. O computador poderia ter sido vendido com um sistema de criptografia já ativado? Um software de segurança (um produto da McAfee instalado como parte da instalação básica) pode ser implementado, fazendo ao usuário uma pergunta vaga como "você deseja proteger seus arquivos", provocando um "sim" sem noção? Se fosse um ataque de ransomware, uma tela "gotcha!" Teria aparecido em algum momento, no final do processo de criptografia, certo? Isso soa como um problema conhecido? É o que eu estou observando (um fluxo contínuo de dados completamente aleatórios) consistente com o que a criptografia normalmente se parece? Os ataques de ransomware criptografam arquivos individuais ou alguns deles podem criptografar uma partição inteira? Existem alguns testes que eu poderia fazer neste momento para determinar se isso é realmente uma criptografia e qual o tipo dela? Existe alguma chance de recuperar alguma coisa neste momento?

Eu perguntei sobre esse problema estranho no HDDGuru, mas não recebi muito em termos de insights úteis: link
(Essa questão em particular é abordada a partir do 9º post, os posts anteriores não são relevantes - no começo eu tinha dúvidas de que o drive em si pudesse ser defeituoso, mas está perfeitamente bem.)

Obrigado.

EDIT: Aqui está uma captura de tela do R-Studio mostrando o esquema de particionamento de uma imagem completa do disco rígido de 500GB do computador. Portanto,háapenasumapartiçãodeusuário,ade438GB;osoutrossãopartiçõesreservadasdosistemaouderecuperação.Apenasode438GBestácheiodedadosaparentementealeatóriosoucriptografados.Aspartiçõesde301MBe38GBnãosãoexibidaspeloWinHex.

AquiestáumacapturadeteladoWinHexmostrandobytesaleatóriosemvezdeespaçolivre.