Ce type logiciel malveillant n'est plus réservé aux seuls utilisateurs de Windows. L'un d'entre eux, KeRanger, a été détecté le 6 mars par des chercheurs de Palo Alto Networks. Ils ont indiqué qu'une version malveillante de Transmission 2.90 pour Mac OS X avait été diffusée sur le site officiel du client BitTorrent entre le 4 et le 5 mars, contenant le tout premier ransomware fonctionnel connu sous OS X, baptisé KeRanger.
Tous les fichiers cryptés avec une extension .encrypted
Quand cette fausse version du logiciel Transmission est installée par l'utilisateur, le ransomware s'exécute alors en parallèle. Trois jours plus tard, un signal est envoyé au centre de commandement du pirate. KeRanger envoie des informations afin d'identifier l'ordinateur de la victime. Il recherche ensuite tous les fichiers de tous les types pour les crypter et les renommer avec une extension .encrypted ajoutée à leur nom et leur contenu devient illisible.
Pour pouvoir accéder à nouveaux aux fichiers cryptés, les victimes sont invitées à se rendre sur un site internet en .onion (via Tor) pour payer 1 Bitcoin, soit environ 370 euros au cours actuel, sur un compte anonyme. Une fois le paiement reçu, le centre de commandement du pirate renvoie au ransomware la clé privée nécessairement au décryptage des fichiers.