> Насколько я понимаю, эта атака актуальна только для зашифрованных системных дисков.

Там, имхо, вообще многое было притянуто "за уши":
1. Буткит использовал "удаленную уязвимость" в адоб ридере – типа "открой пдфку в браузере и у тебя уведут пароль".
Однако, такому трояну, который получил рута и смог перезаписать МБР, этот самый пароль нужен, как рыбе зонтик – ведь у него уже есть доступ ко всем файлам.

2. Сценарий "злобная горничная", т.е. у злоумышленника есть доступ непосредственно к компютеру/лэптопу:
Обычному персоналу делать больше нечего, как тайком дампить диск и ставить буткиты ...
А у "спецперсонала"   в загашнике для этого дела наверняка и аппаратные кейлогеры и скрытые камеры с микрофонами и все остальное найдется.

> никогда не видел необходимости в подобном шифровании.

Частично, из-за легаси – хоум, как таковой, раньше ведь не использовался и  ПО хранило данные по принципу "кто в лес, кто по дрова" – частично в реестре, частично  в том же каталоге с программой. Да и сами пользователи не отставали.
Вроде бы только в семерке МС стал жестче "продавливать" "правильное хранение" для ПО, но опять же, куча $TEMP (в каталоге с виндой, в профиле пользователя, просто в C:\), своп в виде файла на C:, невозможность безопасного удаления файлов на уровне ФС ... в общем, данные по всему диску разбросаны.

Да и просто зашифровать профиль пользователя уже проблема, ведь с документацией "как оно работает" туговато и в код не глянешь.

Ну и да, в теории, засунуть втихаря, при наличии физического доступа, малварь уже сложнее – только хардкор^W буткит, наличие которого можно обнаружить, загрузившись с флэшки и сравнив хэши.