Du könntest die verschlüsselte Datei wieder entschlüsseln und in eine neue Datei schreiben.
Damit dabei keine Sicherheitlücke entsteht, muss folgendes beachtet werden.
Die Klartext-Datei wird mit der API-Funktion CreateFile erzeugt.
Du verwendest die Flags CREATE_ALWAYS, keine Share-Attribute, sowie FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_TEMPORARY.
Danach verwendest du THandleStream um bequem mit der Datei arbeiten zu können.
Solange du das Handle in Besitz hält, kann kein anderer Prozess die Datei auslesen.
Bevor du das Handle mit CloseHandle schliesst, machst du den Inhalt kaputt mit SetEndOfFile.
Wegen FILE_ATTRIBUTE_TEMPORARY wird die Datei wahrscheinlich gar nie auf der phys. Platte gespeichert.