KeRanger sostiene di essere il primo programma ransomware completamente funzionale rivolto agli utenti di computer e laptop Apple Macintosh. KeRanger è in grado di crittografare i dati di un utente Mac e quindi richiedere un riscatto di 1 Bitcoin, che equivale a circa $ 400, al fine di fornire all'utente una chiave per sbloccare i dati.
Il ceppo iniziale di KeRanger è progettato per crittografare più di 300 diversi tipi di file su computer Mac e sostituisce questi file con versioni crittografate. KeRanger attende tre giorni dopo l'installazione per iniziare il ciclo di crittografia, nel tentativo di evitare che alcuni strumenti antivirus rilevino KeRanger come file dannoso.
KeRanger scoperto nell'aggiornamento di trasmissione Bittorrent
KeRanger è apparso in natura il 4 marzo 2016, come parte dell'ultima versione del client Open Source Transmission BitTorrent. Il malware è stato identificato entro sei ore dall'aggiornamento e il progetto Transmission è stato in grado di pubblicare un avviso sul proprio sito Web che avvisava gli utenti di scaricare e aggiornare alla versione 2.92, poiché la versione precedente 2.90 conteneva il ransomware OSX.KeRanger.A.
Fortunatamente, questo ha dato agli utenti della versione 2.90 il tempo di aggiornare Transmission e disinstallare KeRanger prima che iniziasse la sua routine di crittografia, riducendo al minimo il potenziale danno che KeRanger avrebbe potuto infliggere a molti utenti di Mac OS X.
FileCoder ransomware incompleto ha preceduto KeRanger
Sebbene KeRanger consideri il reclamo come il primo malware ransomware per Mac funzionante, non è il primo tentativo di ransomware avviato contro gli utenti di Mac OS X. Un pezzo di ransomware incompiuto denominato FileCoder è stato scoperto dalla società di antivirus Kaspersky Lab nel giugno 2014. FileCoder sembrava essere una prima versione di prova di un programma malware che non era stato completato.