侵入された（orウィルスを踏んだ）PCが感染し、そこからアクセス可能な共有フォルダが根こそぎやられている。ファイルは拡張子が「BIP」に変えられている。
いつ変更されたか、タイムスタンプを見ると、１時と３時である。ウィルスは二時間おきに活動するらしい。
二時間も放って置いたのか、と言われるかも知れないが、一時半頃に「PCが動きません」と言われ、じゃあ別のPCでと言って某活動をし始め、その活動が終わる３時に「ヘンな画面が出ました」と言われたのだ。
一つの可能性として、その一時半頃に誰かが踏んだかも知れない。ただ、もう一つの証言として、前日晩に、そのPCのログイン画面で、今はとっくに使われていないアカウントKWのアイコンに「ログイン中です」と出ていた、と言うのがある。ランサムウェアはRDP経由で入って来ると言うことを聞くのでもしかすると、アカウントKWのパスワードが破られたのかも知れない。しかし、もしそうだとすると侵入者はVPNを通って来ていることになるのでそれはそれでおかしい。
やられた共有フォルダはアカウントBのものなので、やはり可能性は前者の方が高いような気がする。一時半なのかもっと前なのかは全くわからないが、それはBIPランサムウェアウィルスの潜伏期間を調べればはっきりするだろう。