Les utilisateurs de Mac sont sous la menace de KeRanger, qui semble être le premier ransomware de type cheval de Troie fonctionnel sur ces machines.

Le malware chiffre les fichiers présents sur l’ordinateur. Le malware traite 300 extensions de noms de fichiers différentes, parmi les plus utilisées, bien évidemment, afin de toucher documents .doc, .docx, .ppt, etc. images, fichiers audio, archives, code source, email et même bases de données (.db, .sql). Le malware dévoile ensuite une procédure de paiement permettant à la victime d'obtenir le déchiffrement de ses données pour 1 Bitcoin (actuellement environ 370 €).

L'une des particularités de Keranger est qu’il se cache dans une version malveillante du logiciel Transmission (version 2.90), qui comporte pourtant un certificat de développeur valide. De ce fait, le système considère le programme comme étant sûr et autorise  son installation. Pour mémoire, Transmission est un logiciel open source gratuit qui permet de télécharger sur des réseaux BitTorrent.

Une autre spécificité de ce ransomware est qu'il ne passe à l'action qu'après trois jours. L'objectif était apparemment de faire en sorte que suffisamment d'utilisateurs téléchargent la version malveillante de Transmission avant que la menace ne soit connue.

En juin 2014, un premier ransomware sous Mac, du nom de Filecoder, avait été découvert par l'éditeur de solutions de sécurité Kaspersky. Mais il n'était pas vraiment fonctionnel.

KeRanger fonctionne réellement, car il a déjà fait des victimes. Celles-ci sont toutefois peu nombreuses, Transmission n'étant pas un logiciel très connu. La question se pose toutefois de savoir comment le malware a été implanté dans Transmission. L'éditeur de solutions de sécurité Palo Alto Networks, qui publie un intéressant billet détaillant techniquement le fonctionnement de KeRanger ainsi qu'un moyen de s'en prémunir, suppose que le site web de Transmission a été compromis par une attaque.