Absolutamente! Qualquer pessoa com privilégios de conta e acesso suficientemente elevados pode causar um grande dano. E eles nem precisam estar lá para fazer isso também. Então sim. Parece que seu ex-funcionário descontente pode ter feito exatamente isso - ou um vírus / worm fez isso. Não é provável que o Windows tenha feito alguma coisa, a menos que algum hardware esteja falhando ou alguma outra grande falha tenha ocorrido. Caso contrário, isso não é normal.
Assim, no que diz respeito ao seu ex-funcionário, se a conta dele ou a conta que ele usou tiver o direito de modificar certos arquivos - o que pode incluir unidades completas - é muito provável que ele tenha tido um dia de campo. Se ele tivesse acesso à sua LAN, ele também poderia ter feito através de uma conexão WiFi - provavelmente do estacionamento ou em algum lugar próximo. Mas se o seu sistema estiver conectado à Internet e até mesmo se os firewalls estiverem funcionando, ele ainda poderia ter feito isso de praticamente qualquer lugar no planeta Terra. É difícil dizer, já que eu (nós) não sabemos como você tem o (s) seu (s) computador (es) configurado (s).
Este também seria um bom exemplo do motivo pelo qual você deve alterar as senhas. Não apenas para contas de usuários individuais, mas também para conexões WiFi e talvez até mesmo determinados arquivos criptografados. Toda vez que um funcionário deixa o emprego, este deve ser um procedimento operacional padrão antes de eles conseguirem seus documentos de passeio ou em minutos depois. No mínimo, qualquer conta de usuário a que essa pessoa tenha tido acesso precisa ser reduzida a privilégios de convidado e talvez até mesmo ser excluída.
Você pode até querer considerar privilégios de usuário específicos para qualquer outra pessoa também. É possível dar às pessoas acesso a arquivos em um local central, mas não permitir que alterem ou excluam nada. Qualquer pessoa com esse acesso teria que copiar arquivos para seu próprio PC ou seu próprio diretório de privilégios elevados para poder alterar ou excluir qualquer coisa. Então, novamente, você poderia simplesmente deixar alguém ter sua própria pasta em um local central onde você - o administrador - também seria capaz de fazer backups noturnos para outro local que só você tem acesso (dica de sugestão).
Então, novamente, como eu disse, isso pode ter sido o resultado de um vírus ou worm - ou até mesmo uma vulnerabilidade de segurança devido à falta de atualizações. Obviamente, isso seria uma grande razão para ficar por dentro dessas atualizações irritantes também. E não apenas as atualizações da Microsoft - todas as atualizações! Na verdade, existem algumas grandes preocupações com os produtos Adobe Flash e Reader agora, já que até a Adobe relatou "falhas de segurança" em ambos os produtos "onde um usuário / processos mal-intencionados podem ter acesso ao sistema" se o (s) produto (s) for não atualizado. Oráculos Java é outra coisa enorme para manter em cima e por muito mais as mesmas razões também. Na verdade, se você tiver qualquer Java 6 ou versões anteriores instaladas, você é strongmente encorajado pela Oracle para desinstalá-las e instalar a versão 7 - esta NÃO é uma atualização automática que elas podem fazer acontecer.
Portanto, não ficar no topo das atualizações é provavelmente o culpado se você não tiver feito isso ultimamente. Eu sei que isso pode ser um grande tempo vampiro e um grande PITA para algumas pessoas. Mas se você tem uma LAN e / ou acesso à Internet, então é praticamente um requisito para ficar tão seguro quanto possível desses tipos de incidentes (e outros). Não fazê-lo apenas torna muito mais fácil para os funcionários insatisfeitos (e outros indivíduos maliciosos) entrarem e causarem estragos também.
Eu não sei se isso ajuda, mas pelo menos você tem algumas coisas para pensar.