Verschlüsselt womit?
Bei LUKS musst du die Rettungsversuche natürlich auf das entschlüsselte /dev/mapper/... Gerät anwenden und nicht auf das verschlüsselte /dev/sdx9.
Dann spielt die Verschlüsselung keine Rolle mehr.
Generell ist es sehr schwierig, auf SSDs (und in VMs) nach fstrim sogar unmöglich, gelöschte Daten herzustellen. Freien Speicher endgültig zu putzen gehört da leider zum Programm. Mit Verschlüsselung kannst du da Glück haben und allow_discards war nicht aktiv, aber sonst...
fstrim deaktivieren (chmod -x oder rm)
dateisystem nur noch readonly anfassen
1:1 kopie oder copy-on-write overlay machen
verschiedene tools ausprobieren und hoffen
Bei Downloads wäre ja zu überlegen die Daten einfach nochmal neu runterzuladen, bzw. die ursprünglichen Datenquellen in die Rettungsversuche mit einzubeziehen. Also wenn da mal was von einer Speicherkarte kopiert wurde, diese auch scannen. Wenn da mal was auf einem NAS lag, das auch durchsuchen.
Bei fragmentierten Dateien ist die Wiederherstellung ja besonders schwierig, aber wenn es mehr als eine Kopie von der Datei gab, dann sind die wahrscheinlich in unterschiedliche Fragmente aufgeteilt gewesen, und das könnte man dann wieder nutzen um Fragmente zusammenzuführen. Es ist halt ein erheblicher Aufwand.
