¿Dónde encuentro decryptors gratuitos para ransomware?

El recurso principal es NoMoreRansom.org, una iniciativa de Europol, Kaspersky, McAfee y policías de 150+ países. Ofrece más de 170 decryptors gratuitos para más de 180 familias de ransomware. También publicamos enlaces en cada artículo de familia cuando existe un decryptor disponible.

¿Cómo identifico qué ransomware cifró mis archivos?

Usa ID Ransomware (id-ransomware.malwarehunterteam.com): sube la nota de rescate o un archivo cifrado y te identifica la familia. También puedes buscar la extensión del archivo cifrado o el contenido de la nota de rescate en bases de datos de ransomware.

¿Los decryptors funcionan siempre?

No. Un decryptor funciona solo para las versiones específicas del ransomware que tienen el bug criptográfico explotado. Si los atacantes corrigieron el bug en versiones posteriores, el decryptor no funcionará. Siempre verifica la versión de tu ransomware antes de intentar descifrar.

¿Puedo dañar mis archivos al intentar descifrar?

Es posible si usas el decryptor equivocado o si el proceso se interrumpe. Siempre haz una copia de los archivos cifrados antes de intentar el descifrado. Trabaja sobre copias, nunca sobre los originales.

¿Por qué algunos ransomware no tienen decryptor?

Porque su implementación criptográfica es correcta. AES-256 y RSA-2048 bien implementados son irrompibles con tecnología actual. Los decryptors solo existen cuando hay errores en la implementación: PRNG predecible, reutilización de nonces, claves en memoria, o claves obtenidas por law enforcement.

PrincipianteransomwaredescifradoNoMoreRansomherramientasrecuperacióngratuito

Herramientas de Descifrado de Ransomware: NoMoreRansom, ID Ransomware y Decryptors Gratuitos

Guía completa de herramientas y recursos gratuitos para descifrar ransomware sin pagar. NoMoreRansom, ID Ransomware, decryptors de Kaspersky/Bitdefender/Avast/Emsisoft, y cómo determinar si tu familia de ransomware tiene solución.

MalwareIntel Research·21 de mayo de 2026·8 min lectura

Serie: Ransomware — Parte 19

Antes de pagar: verifica si hay solución gratuita

Antes de considerar el pago de un rescate, existe un paso obligatorio: verificar si la familia de ransomware que cifró tus archivos tiene un decryptor gratuito disponible. Gracias al trabajo de investigadores de seguridad, empresas antivirus y agencias de law enforcement, más de 180 familias de ransomware tienen herramientas de descifrado publicadas gratuitamente.

Este artículo es una guía práctica: cómo identificar el ransomware, dónde buscar decryptors, cómo usarlos de forma segura, y qué hacer si no existe solución gratuita.

Paso 1: identificar el ransomware

ID Ransomware

URL: id-ransomware.malwarehunterteam.com

ID Ransomware es el servicio de referencia para identificar familias de ransomware. Creado por Michael Gillespie (MalwareHunterTeam), identifica más de 1.100 familias.

Cómo usarlo:

Acceder al sitio web
Subir la nota de rescate (el archivo .txt o .html que dejó el ransomware)
Y/O subir un archivo cifrado (muestra)
El sistema identifica la familia y te indica si hay decryptor disponible

Qué identifica:

Familia de ransomware por la nota de rescate (patrones de texto)
Familia por la extensión del archivo cifrado
Familia por el contenido del header del archivo cifrado
Enlace al decryptor si existe

Identificación manual

Si ID Ransomware no identifica la familia, intenta:

Indicador	Dónde buscar
Extensión del archivo cifrado	`.lockbit`, `.alphv`, `.akira`, `.play`, `.basta`
Nombre del archivo de la nota	`README.txt`, `RECOVER-FILES.txt`, `HOW-TO-DECRYPT.txt`
Contenido de la nota	Buscar en Google fragmentos del texto
Email de contacto	Buscar el email en bases de datos de ransomware
Dirección .onion	Buscar la URL del portal de pago
Wallpaper modificado	Captura de pantalla del fondo de escritorio

Paso 2: buscar decryptor

NoMoreRansom.org

URL: www.nomoreransom.org

NoMoreRansom es el proyecto más importante de colaboración entre law enforcement y la industria de seguridad para combatir el ransomware. Fundado en 2016 por Europol, la Policía Nacional de Países Bajos, Kaspersky y McAfee.

Cifras del proyecto (2025):

Métrica	Valor
Decryptors disponibles	170+
Familias cubiertas	180+
Rescates evitados (estimado)	Más de 1.500 millones EUR
Partners	190+ (policías, empresas, académicos)
Idiomas	37

Cómo usar NoMoreRansom:

Ir a nomoreransom.org/crypto-sheriff
Subir la nota de rescate y/o un archivo cifrado
Crypto Sheriff identifica la familia
Si hay decryptor, proporciona enlace de descarga e instrucciones

Otros proveedores de decryptors

Proveedor	URL	Especialización
Kaspersky	noransom.kaspersky.com	Múltiples familias, RakhniDecryptor (genérico)
Bitdefender	bitdefender.com/blog/labs/free-ransomware-decryption-tools	GandCrab, REvil, Darkside, LockerGoga
Emsisoft	emsisoft.com/ransomware-decryption	STOP/Djvu (la más común), múltiples familias
Avast	decoded.avast.io	Babuk, Akira (versiones tempranas), Hive
Trend Micro	trendmicro.com/ransomware	CryptXXX, TeslaCrypt, SNSLocker
SRLabs	srlabs.de	Black Basta Buster
KISA (Korea)	kisa.or.kr	Hive (paper de investigación + herramienta)

Familias con decryptor disponible (selección)

Familia	Decryptor	Proveedor	Versiones
STOP/Djvu	Emsisoft Decryptor	Emsisoft	Versiones con claves offline
GandCrab (v1-5.0.3)	GandCrab Decryptor	Bitdefender/NoMoreRansom	v1 a v5.0.3
Hive	Hive Decryptor	KISA/Bitdefender/FBI	Múltiples versiones
Akira (pre-jul 2023)	Akira Decryptor	Avast	Versiones con PRNG predecible
Black Basta (nov-dic 2023)	Black Basta Buster	SRLabs	Solo versiones con crypto bug
Babuk (ESXi)	Babuk Decryptor	Avast	Variante ESXi
REvil/Sodinokibi	REvil Decryptor	Bitdefender	Claves obtenidas por FBI
Petya (original)	Petya Decryptor	Community	Original, NO NotPetya
TeslaCrypt	TeslaCrypt Decryptor	ESET	Todas (master key publicada por los autores)
CryptoLocker	CryptoLocker Decryptor	FireEye/Fox-IT	Claves de Operation Tovar
WannaCry	Wannakey/Wanakiwi	Community	Windows XP/7, si no se reinició
LockerGoga	LockerGoga Decryptor	Bitdefender/NoMoreRansom	Claves de operación policial
MegaCortex	MegaCortex Decryptor	Bitdefender/NoMoreRansom	Claves de operación policial
Maze	Maze Decryptor	Post-disolución del grupo	Master key publicada
Shade/Troldesh	Shade Decryptor	Post-disolución del grupo	Todas (750K claves publicadas)

Familias SIN decryptor conocido (a mayo 2026)

Las familias activas con criptografía correcta no tienen solución gratuita:

LockBit 3.0 (excepto claves individuales de Operation Cronos)
BlackCat/ALPHV (excepto claves del FBI pre-exit scam)
Conti (algunas versiones, basado en código filtrado)
Royal/BlackSuit
Akira (post-julio 2023)
Black Basta (post-enero 2024)
Play
RansomHub
Medusa

Paso 3: usar el decryptor de forma segura

Precauciones obligatorias

Hacer copia de seguridad de los archivos cifrados antes de intentar descifrar. Si algo sale mal, necesitas los archivos cifrados originales
Verificar el hash del decryptor: descargar solo de fuentes oficiales (NoMoreRansom, sitio del vendor). Los atacantes a veces distribuyen "decryptors falsos" que son malware
Ejecutar en un entorno aislado si es posible: el sistema puede seguir comprometido
Probar primero con unos pocos archivos: no ejecutar el descifrado masivo sin verificar que funciona correctamente en una muestra

Proceso general

Descargar el decryptor de fuente oficial
Verificar hash SHA-256 contra el publicado en la fuente
Copiar archivos cifrados a una ubicación de trabajo (no trabajar sobre originales)
Ejecutar el decryptor con los archivos de prueba
Verificar que los archivos descifrados se abren correctamente
Si la prueba es exitosa, ejecutar el descifrado masivo
Verificar integridad de los archivos descifrados

STOP/Djvu: el caso especial

STOP/Djvu es la familia de ransomware más común del mundo (miles de víctimas, principalmente usuarios domésticos). El decryptor de Emsisoft funciona pero con una limitación importante:

Claves offline: si el ransomware no pudo contactar a su C2 durante el cifrado, usó una clave offline compartida entre víctimas. Estas claves son descifrables
Claves online: si el ransomware contactó al C2, recibió una clave única por víctima. Estas claves NO son descifrables sin pagar

El decryptor de Emsisoft indica si la clave es offline (descifrable) u online (no descifrable) al analizar los archivos.

Paso 4: si no hay decryptor

Opciones antes de pagar

Restaurar desde backup: la opción preferida si hay backups viables
Shadow copies: verificar si las shadow copies sobrevivieron (improbable pero posible si el ransomware no las eliminó correctamente)
Herramientas de recuperación de archivos: PhotoRec, Recuva pueden recuperar archivos eliminados si el ransomware eliminó los originales en vez de sobrescribirlos
Versiones anteriores en cloud: OneDrive, Google Drive, Dropbox mantienen historial de versiones
Copias en email: adjuntos enviados por email pueden estar en el servidor de correo
Esperar: algunas familias son descifradas meses o años después. Preservar los archivos cifrados por si un decryptor aparece en el futuro

Preservar archivos cifrados para descifrado futuro

Si no hay decryptor ahora, pero podría haberlo en el futuro:

Hacer una copia completa de los archivos cifrados
Copiar la nota de rescate
Copiar la muestra del binario del ransomware si es posible
Almacenar todo en un disco externo etiquetado
Registrarte en NoMoreRansom para recibir notificación si se publica un decryptor

Recursos adicionales

Comunidad

Recurso	Descripción	URL
BleepingComputer Forums	Comunidad activa de ayuda con ransomware, identificación y descifrado	bleepingcomputer.com/forums
MalwareHunterTeam	Investigadores que identifican nuevas familias y colaboran con NoMoreRansom	Twitter @malaboratorio
The PC Security Channel	Canal YouTube con tutoriales de descifrado	YouTube
r/ransomware	Subreddit con recursos y ayuda comunitaria	reddit.com/r/ransomware

Herramientas de análisis

Herramienta	Uso
CyberChef	Pruebas de descifrado con diferentes algoritmos
VirusTotal	Identificar familia subiendo la muestra del ransomware
ANY.RUN	Sandbox online para analizar el comportamiento del ransomware
Hybrid Analysis	Análisis automatizado de muestras
MalwareBazaar	Base de datos de muestras de malware (Abuse.ch)

Fuentes y referencias

No More Ransom Project. https://www.nomoreransom.org/
ID Ransomware. https://id-ransomware.malwarehunterteam.com/
Emsisoft. "STOP/Djvu Decryptor." https://www.emsisoft.com/ransomware-decryption/stop-djvu
Kaspersky. "No Ransom: Free Ransomware Decryptors." https://noransom.kaspersky.com/
Bitdefender. "Free Ransomware Decryption Tools." Bitdefender Labs.
Avast. "Free Ransomware Decryption Tools." Avast Threat Labs.
SRLabs. "Black Basta Buster." https://github.com/srlabs/black-basta-buster
KISA. "Hive Ransomware Decryption Method." KISA, 2022.
Europol. "No More Ransom: 7 Years of Fighting Ransomware." Europol, 2023.
BleepingComputer. "Ransomware Help and Support Forum." https://www.bleepingcomputer.com/forums/

Preguntas frecuentes

Libros recomendados

Ransomware: Defending Against Digital Extortion (Allan Liska)

Amazon (enlace afiliado)

Practical Malware Analysis (Sikorski & Honig)