santy, может я что-то не понял, но вроде функционал и принцип тот же.
сама папка system volume information была и есть. в ней были точки (файлы без расширения). в 8:30 произошло заражение и затирание этих точек. т.е. папка стала занимать 0Б. затем в 10:30 система сделала новую точку как будто система восстановления win 7 была только что включена.
теме временем удаленные точки фактически оставались на диске как и почти при любом простом удалении (помечены на удаление, да).
вот их удалось вытащить на другой диск. тоже самое предлагает r-undelete. там файлы типа {19f1745a-8bfd-11e4-812f-08606e763134}{3808876b-c176-4e48-b7ae-04046e6cc752} и другие.
если получить права на эту папку и сложить восстановленные файлы туда система их не видит. видит только новую созданную точку.
всё это имхо конечно.
RP55 RP55, наверно метод похож. файлы в каталоге вижу. а вот как устроены эти файлы точек восстановления и как их разобрать хз. наподобие точек в xp, откуда можно было дернуть файлы веток реестра.
Иван Иванович, как восстановили secring.gpg?
кстати если юзать поиск по vault в контексте вылезает контора, которая якобы пишет дешифраторы. так вот они запросили 22кр. притом пример дешифровки не высылают)