KeRanger claimt het eerste volledig functionele ransomwareprogramma te zijn dat zich richt op gebruikers van Apple Macintosh-computers en laptops. KeRanger is in staat de gegevens van een Mac-gebruiker te versleutelen en vervolgens een losgeld van 1 Bitcoin te eisen, wat gelijk is aan ongeveer $ 400, om de gebruiker een sleutel te geven om de gegevens te ontgrendelen.
De oorspronkelijke versie van KeRanger is ontworpen om meer dan 300 verschillende bestandstypen op Mac-computers te versleutelen, en het vervangt deze bestanden door versleutelde versies. KeRanger wacht drie dagen na de installatie om met de coderingscyclus te beginnen, in een poging om te voorkomen dat sommige antivirusprogramma’s KeRanger als een schadelijk bestand detecteren.
KeRanger ontdekt in Transmission Bittorrent Update
KeRanger verscheen in het wild op 4 maart 2016, als onderdeel van de nieuwste versie van de open-source Transmission BitTorrent-client. De malware werd binnen zes uur na de update geïdentificeerd en het Transmission-project kon een waarschuwing op zijn website plaatsen om gebruikers te waarschuwen om te downloaden en te upgraden naar versie 2.92, aangezien de eerdere versie 2.90 de OSX.KeRanger.A-ransomware bevatte.
Gelukkig gaf dit gebruikers van versie 2.90 de tijd om Transmission te upgraden en KeRanger te deïnstalleren voordat het zijn versleutelingsroutine begon, waardoor de potentiële schade die KeRanger aan veel Mac OS X-gebruikers had kunnen hebben geminimaliseerd.
Onvolledige FileCoder Ransomware ging vooraf aan KeRanger
Hoewel KeRanger de claim beschouwt als het eerste functionele Mac-ransomware-stuk malware, is het niet de eerste poging tot ransomware tegen Mac OS X-gebruikers. Een onvoltooid stuk ransomware genaamd FileCoder werd ontdekt door antivirusbedrijf Kaspersky Lab in juni 2014. FileCoder bleek een vroege testversie te zijn van een malwareprogramma dat niet was voltooid.