一个被研究人员命名为KeRanger的全功能勒索软件，上周五出现在苹果的BitTorrent客户端软件Transmission中。

2016年3月4号11点（太平洋标准时间）到5号19点之间，从官方网站下载Transmission安装包的用户都有可能被KeRanger感染。从第三方网站下载或是其他时间段下载的用户，也建议进行安全检测——Palo Alto 威胁情报小组

目前尚未得知攻击是如何发生的，但由于Transmission的安装文件含有有效的代码签名证书，因此可以绕过苹果安全软件Gatekeeper的保护。进入用户系统之后，KeRanger将会在系统中潜伏三天，直到通过匿名代理Tor联系到命令控制服务器(C2)。C2使用类似以下的中继链接：

lclebb6kvohlkcml.onion[.]link

lclebb6kvohlkcml.onion[.]nu

bmacyzmea723xyaz.onion[.]link

bmacyzmea723xyaz.onion[.]nu

nejdtkok7oz5kjoc.onion[.]link

nejdtkok7oz5kjoc.onion[.]nu

一旦与C2建立联系，勒索软件就开始加密各种通用类型的文件，包括文档、图片、音频和视频等。研究人员还发现，该恶意软件不会加密“时间机器”的备份，虽然它的代码里包括这个功能，但在当前版本中却还没有激活这个功能。

该恶意软件在加密用户文件之前需要先联系到C2，这似乎是个设计上的漏洞。也就是说，如果被感染的系统没有与互联网连接，这个勒索软件就无法开始加密过程。但完成加密之后，该恶意软件会索要400美元的赎金。

苹果目前已经把安装器添加到Gatekeeper的黑名单中，同时废除了安装器中使用的有效代码签名证书，并更新了XProtect的签名，包括整个赎金软件家族的特征码。

TRansmission是一个开源软件，目前已经更新到2.92版，可以检测并移除KeRanger，建议用户下载更新，否则便面临周一上午11点，文件被加密的风险。

目前还发现一些网络犯罪分子正在在某地下论坛售卖盗来的苹果软件的代码签名证书，其价值可达1万美元。