Wie die manipulierten Installationsdateien in Umlauf gebracht werden konnten, ist bislang unklar. Sie wurden inzwischen von der Transmission-Webseite entfernt. Apple hat außerdem das Sicherheitszertifikat annulliert, mit denen das Programm die Sicherheitsmechanismen von Mac OS X überwinden konnte.

Zwischen Freitag, 4. März, und Samstag, 5. März, heruntergeladene Versionen von Transmission sollten sicherheitshalber gelöscht werden, raten die Experten. Auf der Unternehmenswebseite von Palo Alto Networks gibt es weitere Hinweise zum Aufspüren einer eventuellen Infektion mit „KeRanger“ und zur Entfernung des Schädlings.

Grundsätzlich rät Apple seinen Nutzern, die Sicherheitsfunktionen von OS X so einzustellen, dass nur aus dem Mac App Store und bei verifizierten Entwicklern heruntergeladene Programme installiert werden können. Die Option findet sich in den Einstellungen des Macs im Bereich „Sicherheit“.

Sicherheitsexperten und Polizei raten grundsätzlich davon ab, Lösegeld an Online-Erpresser zu zahlen. Nutzer sollten lieber auf Prävention setzen. Dazu gehören aktuell gehaltene Betriebssysteme und Virenscanner, eine regelmäßige Sicherung wichtiger Daten auf externen Festplatten und Vorsicht beim Umgang mit Dateien unbekannter Herkunft.