Ransom.MSIL.BITPYLOCKER.A

This Ransomware arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

It encrypts files with specific file extensions. It drops files as ransom note.

Arrival Details

This Ransomware arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

This Ransomware adds the following processes:

• "%System%\cmd.exe" /C choice /C Y /N /D Y /T 3 & Del "{Malware path}"

(Note: %System% is the Windows system folder, where it usually is C:\Windows\System32 on all Windows operating system versions.)

Process Termination

This Ransomware terminates processes or services that contain any of the following strings if found running in the affected system's memory:

• backup
• cobain
• drop
• drive
• sql
• database
• vmware
• virtual
• agent
• anti
• iis
• web
• server
• apache

Ransomware Routine

This Ransomware encrypts files with the following extensions:

• 3ds
• 3fr
• 3g2
• 3gp
• 3pr
• 7z
• ab4
• accdb
• accde
• accdr
• accdt
• ach
• acr
• act
• adb
• ads
• agdl
• ai
• ait
• al
• apj
• arw
• asf
• asm
• asp
• aspx
• asx
• avi
• awg
• back
• backup
• backupdb
• bak
• bank
• bay
• bdb
• bgt
• bik
• bin
• bkf
• bkp
• blend
• bpw
• c
• cab
• cdf
• cdr
• cdr3
• cdr4
• cdr5
• cdr6
• cdrw
• cdx
• ce1
• ce2
• cer
• cfp
• cgm
• chm
• cib
• class
• cls
• cmt
• cnf
• conf
• cpi
• cpp
• cr2
• craw
• crt
• crw
• cs
• csh
• csl
• csv
• dac
• dat
• data
• db
• db-journal
• db3
• dbf
• dbx
• dc2
• dcr
• dcs
• ddd
• ddoc
• ddrw
• dds
• der
• des
• design
• dgc
• djvu
• dng
• doc
• docm
• docx
• dot
• dotm
• dotx
• drf
• drw
• dtd
• dwg
• dxb
• dxf
• dxg
• eml
• eps
• erbsql
• erf
• exf
• fdb
• ffd
• fff
• fh
• fhd
• fla
• flac
• flv
• fmb
• fpx
• frx
• fxg
• gif
• gray
• grey
• gry
• gz
• h
• hbk
• hpp
• htm
• html
• ibank
• ibd
• ibz
• idx
• iif
• iiq
• incpas
• indd
• jar
• java
• jin
• jpe
• jpeg
• jpg
• js
• jse
• jsp
• kc2
• kdbx
• kdc
• key
• kpdx
• log
• lua
• m
• m4v
• max
• mdb
• mdc
• mdf
• mef
• mfw
• mmw
• moneywell
• mos
• mov
• mp3
• mp4
• mpg
• mrw
• msg
• myd
• nd
• ndd
• nef
• nk2
• nop
• nrw
• ns2
• ns3
• ns4
• nsd
• nsf
• nsg
• nsh
• nvram
• nwb
• nx2
• nxl
• nyf
• oab
• obj
• odb
• odc
• odf
• odg
• odm
• odp
• ods
• odt
• oil
• orf
• ost
• otg
• oth
• otp
• ots
• ott
• p12
• p7b
• p7c
• pab
• pages
• pas
• pat
• pbl
• pcd
• pct
• pdb
• pdd
• pdf
• pef
• pem
• pfx
• php
• pl
• plc
• png
• pot
• potm
• potx
• ppam
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• prf
• ps
• psafe3
• psd
• pspimage
• pst
• ptx
• py
• qba
• qbb
• qbm
• qbr
• qbw
• qbx
• qby
• r3d
• raf
• rar
• rat
• raw
• rdb
• rm
• rtf
• rw2
• rwl
• rwz
• s3db
• sas7bdat
• say
• sd0
• sda
• sdf
• sldm
• sldx
• sql
• sqlite
• sqlite3
• sqlitedb
• sr2
• srf
• srt
• srw
• st4
• st5
• st6
• st7
• st8
• std
• sti
• stw
• stx
• svg
• swf
• sxc
• sxd
• sxg
• sxi
• sxm
• sxw
• tex
• tga
• thm
• tif
• tlg
• txt
• vb
• vbs
• vmdk
• vmem
• vmsd
• vmsn
• vmx
• vmxf
• vob
• wallet
• war
• wav
• wb2
• wmv
• wpd
• wps
• x11
• x3f
• xis
• xla
• xlam
• xlk
• xlm
• xlr
• xls
• xlsb
• xlsm
• xlsx
• xlt
• xltm
• xltx
• xlw
• ycbcra
• yuv
• zip

It avoids encrypting files with the following strings in their file name:

• # HELP_TO_DECRYPT_YOUR_FILES #.html

It avoids encrypting files with the following strings in their file path:

• windows
• windows.old
• program files
• program files (x86)
• program data
• $recycle.bin
• system volume information

It appends the following extension to the file name of the encrypted files:

• .bitpy

It drops the following file(s) as ransom note:

• {Encrypted folder}\# HELP_TO_DECRYPT_YOUR_FILES #.html