KeRanger prétend être le premier programme de ransomware entièrement fonctionnel ciblant les utilisateurs d'ordinateurs et d'ordinateurs portables Apple Macintosh. KeRanger est capable de crypter les données d'un utilisateur Mac, puis d'exiger une rançon de 1 Bitcoin, ce qui équivaut à environ 400 $, afin de fournir à l'utilisateur une clé pour déverrouiller les données.
La souche initiale de KeRanger est conçue pour crypter plus de 300 types de fichiers différents sur les ordinateurs Mac, et elle remplace ces fichiers par des versions cryptées. KeRanger attend trois jours après l'installation pour commencer le cycle de chiffrement, dans le but d'éviter que certains outils antivirus ne détectent KeRanger comme un fichier malveillant.
KeRanger découvert dans la mise à jour Transmission Bittorrent
KeRanger est apparu dans la nature le 4 mars 2016, dans le cadre de la dernière version du client Open-source Transmission BitTorrent. Le logiciel malveillant a été identifié dans les six heures suivant la mise à jour et le projet Transmission a pu publier un avertissement sur son site Web avertissant les utilisateurs de télécharger et de mettre à niveau vers la version 2.92, car la version précédente de la version 2.90 contenait le ransomware OSX.KeRanger.A.
Heureusement, cela a donné aux utilisateurs de la version 2.90 le temps de mettre à niveau Transmission et de désinstaller KeRanger avant de commencer sa routine de chiffrement, ce qui a minimisé les dommages potentiels que KeRanger aurait pu infliger à de nombreux utilisateurs de Mac OS X.
FileCoder Ransomware incomplet précédé KeRanger
Bien que KeRanger considère cette affirmation comme le premier malware fonctionnel de ransomware Mac, ce n'est pas la première tentative de ransomware lancée contre les utilisateurs de Mac OS X. Un morceau inachevé de ransomware surnommé FileCoder a été découvert par la firme antivirus Kaspersky Lab en juin 2014. FileCoder semblait avoir été une première version de test d'un programme malveillant qui n'avait pas été terminé.