[DruOleg]

Опытным путем посмотрел на тестовом стенде хранение данных в $MFT на примере БД в 10 ГБ. Она состоит из двух кластеров, в начале каждого находится запись "INDX(" (49 4E 44 58 28 00).
Копаю в этом направлении. Надеюсь, верном.

Tomset,
спасибо за матчасть! Буду изучать.

Руководство не мое, я тут в роли "спасителя" после "женских докторов".
Для нашей организации это репутационные потери (хотя мы 3 года не допускались к этим серверам теми же безопасниками и уже спасали их 3 года назад после шифровальщика на том же сервере), а для заказчика кадровые.