O KeRanger afirma ser o primeiro programa de ransomware totalmente funcional voltado para usuários de computadores e laptops Apple Macintosh. O KeRanger é capaz de criptografar os dados de um usuário Mac e então exigir um resgate de 1 Bitcoin, o que equivale a cerca de US $ 400, a fim de fornecer ao usuário uma chave para desbloquear os dados.
A linhagem inicial de KeRanger é projetada para criptografar mais de 300 tipos de arquivos diferentes em computadores Mac e substitui esses arquivos por versões criptografadas. O KeRanger espera três dias após a instalação para iniciar o ciclo de criptografia, em uma tentativa de evitar que algumas ferramentas antivírus detectem o KeRanger como um arquivo malicioso.
KeRanger descoberto na atualização do Transmission Bittorrent
KeRanger apareceu na selva em 4 de março de 2016, como parte da versão mais recente do cliente Transmission BitTorrent de código aberto. O malware foi identificado seis horas após a atualização, e o projeto Transmission pôde postar um aviso em seu site alertando os usuários para baixar e atualizar para a versão 2.92, já que a versão 2.90 anterior continha o ransomware OSX.KeRanger.A.
Felizmente, isso deu aos usuários da versão 2.90 tempo para atualizar o Transmission e desinstalar o KeRanger antes de iniciar sua rotina de criptografia, o que minimizou o dano potencial que o KeRanger poderia ter infligido a muitos usuários do Mac OS X.
Incomplete FileCoder Ransomware Preceded KeRanger
Embora o KeRanger considere o primeiro ransomware Mac funcional do malware, não é a primeira tentativa de ransomware iniciada contra usuários do Mac OS X. Um ransomware inacabado denominado FileCoder foi descoberto pela empresa de antivírus Kaspersky Lab em junho de 2014. O FileCoder parecia ter sido uma versão de teste inicial de um programa de malware que não havia sido concluída.