KeRanger behauptet, das erste voll funktionsfähige Ransomware-Programm zu sein, das sich an Benutzer von Apple Macintosh-Computern und -Laptops richtet. KeRanger ist in der Lage, die Daten eines Mac-Benutzers zu verschlüsseln und dann ein Lösegeld von 1 Bitcoin zu verlangen, was ungefähr 400 US-Dollar entspricht, um dem Benutzer einen Schlüssel zum Entsperren der Daten bereitzustellen.
Der anfängliche Stamm von KeRanger wurde entwickelt, um mehr als 300 verschiedene Dateitypen auf Mac-Computern zu verschlüsseln, und ersetzt diese Datei durch verschlüsselte Versionen. KeRanger wartet drei Tage nach der Installation, um den Verschlüsselungszyklus zu starten, um zu verhindern, dass einige Antiviren-Tools KeRanger als schädliche Datei erkennen.
KeRanger im Transmission Bittorrent Update entdeckt
KeRanger erschien am 4. März 2016 in freier Wildbahn als Teil der neuesten Version des Open-Source-Transmission BitTorrent-Clients. Die Malware wurde innerhalb von sechs Stunden nach dem Update identifiziert, und das Transmission-Projekt konnte auf seiner Website eine Warnung veröffentlichen, in der Benutzer zum Herunterladen und Aktualisieren auf Version 2.92 aufgefordert wurden, da die frühere Version 2.90 die Ransomware OSX.KeRanger.A enthielt.
Glücklicherweise hatten Benutzer der Version 2.90 Zeit, die Übertragung zu aktualisieren und KeRanger zu deinstallieren, bevor die Verschlüsselungsroutine gestartet wurde, wodurch der potenzielle Schaden minimiert wurde, den KeRanger vielen Mac OS X-Benutzern zufügen könnte.
Unvollständiger FileCoder Ransomware Preceded KeRanger
Während KeRanger den Anspruch als erste funktionierende Mac-Ransomware-Malware ansieht, ist dies nicht der erste Ransomware-Versuch, der gegen Mac OS X-Benutzer eingeleitet wurde. Eine unvollendete Ransomware namens FileCoder wurde im Juni 2014 von der Antivirenfirma Kaspersky Lab entdeckt. FileCoder schien eine frühe Testversion eines Malware-Programms zu sein, das noch nicht abgeschlossen war.