El usuario finalizado hizo algo para corromper el sistema operativo y los datos en una computadora portátil

4

Soy un ingeniero sénior de sistemas en una empresa de hosting / ASP de tamaño medio. Hace 9 o 10 meses tuvimos un gran despido que incluía al director de marketing de nuestra empresa.

Ninguno de los miembros de nuestra gerencia superior pensó en tomarse el tiempo de revisar sus correos electrónicos o datos de su computadora portátil cuando les ofrecimos proporcionarlos después de que se anunció la terminación. Después de dos semanas seguí adelante y "procesé completamente" la terminación, lo que implica eliminar la cuenta de correo electrónico del usuario (retención de 30 días), mover todos sus datos de la unidad personal a otra ubicación para realizar una copia de seguridad ... etc.

Poco antes de ser despedido, logró un (mal) trato con uno de nuestros clientes, que actualmente genera alrededor de $ 15k por mes. Ahora, de 9 a 10 meses más tarde, nuestro cliente está cuestionando qué se les está facturando. Adivina qué, nadie tiene una declaración de trabajo (el cliente probablemente sí, pero nunca lo compartirían). Esta cosa no se encuentra en ninguna parte ...

Desenterré su disco duro y lo puse en una computadora portátil. Arrancó e inmediatamente noté que algo estaba mal. nada en el menú de inicio, nada en todos los programas y algún extraño comportamiento de explorador de "ventanas heredadas". Así que verifico el C: \ y bajo y he aquí, casi todos los archivos y carpetas (fuera de las cosas de SO MÁS requeridas) han cambiado su nombre a una letra o número aleatorio.

Por lo que puedo decir, este tipo se volvió loco a pesar de que no solo eliminó ningún dato del disco, sino que también destruyó la estructura de carpetas en todo el sistema. No pude recopilar ninguna información y decidí que es mejor llevar el disco a un experto en recuperación.

¿Alguien ha oído hablar de una utilidad que pueda hacer eso? Si es así, ¿hay algún método de recuperación que pueda haber usado para revertir el daño? Es más que probable que llevemos la unidad a un experto esta semana, pero tengo curiosidad de si podríamos recurrir a llevar a este tipo a la corte y hacer que el costo de la recuperación sea flotante.

    
pregunta user165597 06.12.2017 - 23:32
fuente

2 respuestas

1

Hay dos niveles de eliminación de archivos en una computadora.

Cuando elimina un archivo, el sistema simplemente marca el espacio que el archivo tomó como disponible nuevamente. Si ese espacio no se vuelve a utilizar realmente, el archivo todavía está allí y se puede recuperar. He utilizado el programa Recuva de Piriform con cierto éxito en el pasado, pero hay otros también.

Si el archivo se sobrescribió, ya sea deliberadamente con un programa de borrado seguro o simplemente durante el curso normal de las operaciones, la recuperación es extremadamente difícil a imposible.

Si todos los archivos solo se renombran a cadenas aleatorias, entonces posiblemente podría intentar abrirlos todos en notepad / word / etc. Puede tomar un tiempo, pero cambiar el nombre de un archivo no destruye ninguno de los datos del archivo.

    
respondido por el K.B. 06.12.2017 - 23:49
fuente
1

Suponiendo que el acuerdo se configuró y / o confirmó por correo electrónico, entonces todos los intercambios deberían almacenarse en los registros de sus servidores de correo electrónico, la mayoría de las jurisdicciones tienen una larga varios años retención de correos electrónicos en o fuera del servidor como requisito legal, (basado a menudo en la legislación antiterrorista y / o de tráfico) .

Consulte con el soporte técnico del proveedor de servicios de correo electrónico: debería ser bastante sencillo recuperar todos los correos electrónicos entre un empleado específico y un dominio específico durante un período de tiempo determinado.

Si el sistema de correo electrónico de su empresa no realiza dicha retención de correo, verifique la legislación local y, si es necesario, corrija sus prácticas. Posiblemente podría enviar un pequeño bono & un correo electrónico de agradecimiento, bonito y vagamente redactado como "¡Gracias por sus acciones finales con la compañía que nos ha salvado de una gran cantidad de problemas!" a la persona que hizo esto no destacando de lo que corría el riesgo: sospecho que esto los volverá locos. Si se siente un poco desagradable, envíelo a su new dirección de correo electrónico del trabajo con una gran importancia y señale que sus acciones finales ¡Le hemos alertado sobre un posible riesgo de cumplimiento de seguridad!

    
respondido por el Steve Barnes 07.12.2017 - 08:53
fuente

Lea otras preguntas en las etiquetas