¿ID Ransomware es seguro y fiable?

Sí. El servicio lo opera MalwareHunterTeam desde 2016 (Michael Gillespie, investigador de referencia en descifradores). Es citado por Europol, el FBI y la mayoría de CERT nacionales como primera herramienta de identificación. La base cubre más de 1300 familias y ha procesado más de 1,5 millones de envíos. El código del servidor no es de fuente abierta, pero el historial del equipo y la ausencia de incidentes de fuga lo convierten en la referencia consensuada.

¿Los datos enviados son confidenciales?

Un archivo cifrado subido es criptográficamente inutilizable sin la clave del atacante: no puede revelar el contenido original. La nota de rescate, en cambio, contiene a menudo un identificador único de víctima (UID/TID, a veces una dirección Bitcoin personal o un portal Tor). Oculta o trunca estos identificadores antes de subir, sobre todo si planeas negociar o contratar un negociador profesional. ID Ransomware no exige cuenta, conserva los envíos para la base de investigación, pero no publica el contenido.

¿Qué hacer si ID Ransomware no reconoce la cepa?

Tres vías complementarias. Primero la base BleepingComputer Ransomware Identification (foro comunitario con analistas voluntarios, a menudo más reactivo en cepas emergentes). Después Crypto Sheriff de No More Ransom, lógica similar pero base distinta. Por último Emsisoft Ransomware Identification, integrada en su herramienta de descifrado. Si ninguno la reconoce, probablemente sea una variante muy reciente o un ransomware dirigido: contacta con un CSIRT nacional (INCIBE-CERT en España, CISA en EE. UU., CERT-FR en Francia).

¿La identificación por extensión de archivo es fiable?

No por sí sola. Varias familias comparten extensiones genéricas (.locked, .encrypted, .crypto, .crypt): al menos una docena de ransomwares usan .locked. Por eso ID Ransomware cruza extensión, estructura binaria del archivo cifrado (header, marker, footer) y hash de la nota de rescate. La identificación por triangulación es fiable por encima del 95% en familias conocidas.

¿Hay riesgo de falsos positivos?

Sí, sobre todo con variantes nuevas basadas en código fuente filtrado (Conti, LockBit Black, Babuk). Una variante puede identificarse como la familia matriz aunque use una clave independiente: el descifrador de la familia matriz no funcionará. Prueba siempre en un archivo de muestra antes de aplicar un descifrador al conjunto, y nunca elimines los originales hasta confirmar la recuperación.

Identificar un ransomware con ID Ransomware: guía 2026

Antes de intentar nada (pago, descifrado, restauración parcial), una sola pregunta importa: ¿qué ransomware exactamente te ha afectado? La respuesta condiciona todo: descifrador disponible, comportamiento esperado, tiempo de permanencia, riesgo de doble extorsión, estado legal del grupo. ID Ransomware, operado por MalwareHunterTeam desde 2016, es la herramienta de referencia para responder en pocos minutos.

Esta guía detalla el procedimiento exacto, qué saber antes de subir, y cómo explotar el resultado según si la cepa es conocida o emergente.

ID Ransomware: lo que hace exactamente el servicio

ID Ransomware es un proyecto mantenido por Michael Gillespie (alias Demonslay335), investigador central en la comunidad ransomware desde mediados de los 2010. El servicio es gratuito, sin registro, y acepta dos tipos de entrada: una muestra de archivo cifrado y la nota de rescate dejada por los atacantes.

La lógica de identificación

La herramienta cruza varias señales para decidir:

La extensión añadida al archivo cifrado (.lockbit, .djvu, .conti, etc.).
La estructura binaria del archivo: header, marker al inicio o final del archivo, firma del algoritmo (AES, ChaCha20, Salsa20), a veces un footer con metadatos (versión, ID víctima, clave cifrada por RSA).
El hash de la nota de rescate: la mayoría de familias usan una plantilla de texto estable, modificada solo en campos variables (UID, importe, enlace Tor). El hash parcial o la firma léxica permiten una identificación fiable.
El nombre del archivo de la nota: README.txt, _readme.txt, HOW_TO_DECRYPT.txt, !!!HELP_FILE!!!.html, restore-my-files.txt, etc.
El fondo de pantalla de rescate en algunos casos (imagen sustituida como fondo del escritorio).

La triangulación de estas señales eleva la tasa de identificación por encima del 95% en familias indexadas. La base cubre más de 1300 familias en 2026, y el servicio procesa aproximadamente 1,5 millones de envíos al año.

Por qué no basta la extensión

Una docena de ransomwares comparten extensiones genéricas como .locked, .encrypted o .crypto. Sin cruce con la nota y la estructura binaria, la identificación sería errónea con frecuencia, y un descifrador aplicado a la familia equivocada destruye definitivamente los archivos.

Procedimiento completo

Paso 1 — Preparar el entorno de trabajo

Necesitas un dispositivo no infectado: smartphone, segundo PC, ordenador de un familiar. Nunca uses la máquina comprometida para la identificación: puede seguir exfiltrando datos o cifrando archivos recién creados.

Prepara dos soportes:

Una memoria USB para transferir la nota de rescate y un archivo cifrado.
Una carpeta de evidencias (capturas de pantalla, registros de eventos).

Paso 2 — Extraer una muestra de archivo cifrado

Trabaja siempre sobre una copia, nunca sobre el original. Si sobrescribes o modificas el archivo original por error, pierdes la oportunidad de recuperación incluso si un descifrador aparece más tarde.

Elige un archivo cifrado pequeño (idealmente menos de 1 MB): es el límite de subida en ID Ransomware. Un .docx o .jpg de tamaño modesto es ideal. Para examinar las características del archivo antes de subir, este script PowerShell extrae la información clave.

# Examinar un archivo cifrado sin modificarlo
$file = "C:\Path\To\encrypted-sample.docx.lockbit3"

# Tamano y marcas de tiempo
Get-Item $file | Select-Object FullName, Length, CreationTime, LastWriteTime

# Hash SHA-256 del archivo completo
Get-FileHash -Algorithm SHA256 $file

# Primeros 256 bytes (header) en hex - para identificar el marker
$bytes = [System.IO.File]::ReadAllBytes($file) | Select-Object -First 256
($bytes | ForEach-Object { $_.ToString("X2") }) -join " "

# Ultimos 512 bytes (footer suele llevar el marker y la clave RSA)
$all = [System.IO.File]::ReadAllBytes($file)
$tail = $all[($all.Length - 512)..($all.Length - 1)]
($tail | ForEach-Object { $_.ToString("X2") }) -join " "

# Busqueda de una firma ASCII visible (UID, marker conocido)
$content = [System.Text.Encoding]::ASCII.GetString($all)
[regex]::Matches($content, "[A-Za-z0-9]{16,}") | Select-Object -First 5

Este script nunca modifica el archivo (todas las operaciones son de solo lectura) y permite recuperar el hash, header y footer: útil para el foro BleepingComputer si ID Ransomware no reconoce la cepa.

Paso 3 — Recuperar la nota de rescate

La nota suele encontrarse en el escritorio, en la carpeta Documentos y depositada en cada carpeta con archivos cifrados. Los nombres más comunes en 2026:

README.txt
_readme.txt (STOP/Djvu)
HOW_TO_DECRYPT.txt
!!!HELP_FILE!!!.html
restore-my-files.txt (LockBit)
RECOVER_DATA.html (Akira)
instructions_read_me.txt (BlackBasta)
recover-files.txt (Royal)

Antes de subir, oculta los identificadores personales. La nota contiene casi siempre un UID, TID, ID de transacción, dirección Bitcoin personal o enlace Tor único que te identifica ante los atacantes. Reemplaza esas cadenas por [REDACTED] en una copia de la nota antes de enviarla a ID Ransomware. Por qué: si más adelante decides contratar un negociador profesional, el atacante no debe saber que analizaste públicamente la nota.

Paso 4 — Subir a ID Ransomware

Accede a id-ransomware.malwarehunterteam.com. La interfaz ofrece dos campos:

Ransom Note: la nota de rescate (texto, HTML, imagen, audio TTS en algunas variantes recientes).
Sample Encrypted File: un archivo cifrado.

Límite: 1 MB por archivo. Sin cuenta requerida, envío anónimo. El servicio procesa la solicitud en segundos.

Paso 5 — Leer el resultado

Tres posibles desenlaces:

Identificación positiva con descifrador disponible. El resultado muestra el nombre de la familia, un enlace directo al descifrador oficial (a menudo Emsisoft, Avast, Kaspersky o No More Ransom), y un enlace al hilo de BleepingComputer correspondiente. Descarga el descifrador desde la fuente oficial únicamente: existen falsos descifradores con trampas.

Identificación positiva sin descifrador. La cepa es conocida pero no existe herramienta gratuita (caso de LockBit 3.0, Akira recientes, Royal, BlackCat, Play, 8base, BlackBasta). Anota el nombre exacto para los pasos siguientes (negociación, denuncia, notificación de brecha).

Identificación incierta o múltiple. El servicio propone varios candidatos. Cruza con BleepingComputer y No More Ransom para desempatar.

Paso 6 — Cruzar con bases alternativas

ID Ransomware no está solo. Bases complementarias útiles en 2026:

No More Ransom — Crypto Sheriff (nomoreransom.org): iniciativa conjunta de Europol, policía neerlandesa y varios antivirus. Base de 200+ descifradores gratuitos. Interfaz similar (subir nota + muestra).
BleepingComputer Ransomware ID (bleepingcomputer.com/forums): foro comunitario con analistas voluntarios. Más reactivo en cepas emergentes.
Emsisoft Ransomware Identification (emsisoft.com/ransomware-decryption): integrada en su catálogo de descifradores.
Coveware (coveware.com): identificación gratuita para empresas que contraten una misión de negociación/respuesta de pago.

Familias de ransomware comunes 2024-2026

Familia	Extensión típica	Descifrador gratuito	Modelo
LockBit 3.0 / Black	.lockbit, .HLJkNskOq (random)	No (claves parciales tras operación policial 2024)	RaaS — afiliados
LockBit 4.0	.[random]	No	RaaS — relanzamiento 2024
Akira	.akira, .powerranges	Parcial (variantes antiguas)	RaaS
BlackCat / ALPHV	.[7 chars random]	No (claves FBI 2023, limitadas)	RaaS — parcialmente desmantelado
Royal	.royal, .royal_w, .royal_u	No	Grupo cerrado
BlackBasta	.basta	No	RaaS
Play	.play, .PLAY	No	Grupo cerrado
8base	.8base, .id-.8base	No	RaaS
STOP / Djvu	.djvu, .stop, .pulsar1, .qehu, etc.	Parcial (Emsisoft, solo claves offline)	Solo + variantes
Phobos	.phobos, .eight, .eject, .devos	Parcial (claves filtradas 2024)	RaaS
Conti (heredado)	.conti, .[random 5]	No (código fuente filtrado 2022)	Desmantelado — variantes activas
Hive (heredado)	.hive, .[random]	Sí (claves FBI 2023)	Desmantelado ene. 2023
Babuk (heredado)	.babuk, .babyk, .NIST_K571	Parcial (código filtrado 2021)	Desmantelado — variantes activas
Cl0p	.clop, .C_L_O_P, .cllp	No	Grupo cerrado
Medusa	.MEDUSA	No	RaaS

El estado puede evolucionar: vigilar regularmente No More Ransom y los boletines de INCIBE-CERT.

Tras la identificación: qué hacer según el resultado

Caso A — Existe un descifrador oficial

Excelente noticia, pero ojo con las trampas.

Descarga el descifrador solo desde la fuente oficial (enlace desde ID Ransomware, No More Ransom o el sitio del fabricante).
Prueba primero en una copia de un archivo cifrado. Si la copia se descifra correctamente, extiende al conjunto.
Conserva los archivos cifrados originales hasta confirmar que la recuperación es completa y estable (mínimo 1 a 2 semanas).

Consulta nuestra guía Descifrar un ransomware sin pagar para el detalle de herramientas por familia.

Caso B — No hay descifrador disponible

Sin pánico: es el caso más frecuente en 2026 en las familias RaaS recientes. Quedan varias palancas:

Copia de seguridad anterior al ataque: la primera oportunidad de recuperación. Verifica backup en la nube (OneDrive, Backblaze, iCloud), disco externo desconectado, NAS fuera de sitio.
Shadow copies de Windows no destruidas: ver Shadow Copies Windows y recuperación.
EaseUS Data Recovery Wizard para escanear fragmentos no cifrados (archivos temporales de Office, autosaves de Adobe, miniaturas EXIF). Método detallado en Recuperar archivos después de ransomware.
NAS Synology / QNAP afectados: procedimientos específicos descritos en Ransomware en NAS Synology y QNAP.

★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go

Escanear fragmentos recuperables con EaseUS→

Caso C — Denuncia y notificación obligatorias

Sea cual sea el resultado:

Denuncia ante autoridades. España: Policía Nacional, Guardia Civil o INCIBE (incibe.es). Francia: cybermalveillance.gouv.fr. EE. UU.: IC3.gov.
Notificación a AEPD en 72 horas si tratas datos personales de terceros (clientes, empleados, contactos). Obligación RGPD artículo 33 vigente en toda la UE/EEE. Equivalentes en California (CCPA), Brasil (LGPD), Reino Unido (UK-GDPR).
Declaración al seguro cibernético si tienes cobertura: la denuncia policial suele ser obligatoria para activar la indemnización.

Falsos positivos y trampas comunes

Variantes basadas en código fuente filtrado

El código fuente de Conti, LockBit Black, Babuk y HelloKitty se filtró entre 2021 y 2024. Variantes amateur reutilizan estos códigos con sus propias claves. ID Ransomware puede clasificarlas en la familia matriz, pero el descifrador de la familia matriz no funcionará en estas variantes (claves independientes). Siempre prueba en una copia antes de desplegar.

Homonimias de extensiones

Varias familias usan las mismas extensiones genéricas:

.locked: usada por al menos 12 familias distintas (TeslaCrypt, Locked-In, Cerber, etc.).
.encrypted: 8 familias conocidas.
.crypt: 6 familias.

Sin la nota de rescate, la identificación solo por extensión no es fiable. Sube siempre ambos.

Descifradores falsos

Foros clandestinos y algunos sitios de SEO black hat ofrecen descifradores falsos con trampas (que son a su vez ransomwares o ladrones de credenciales). Descarga únicamente desde:

El enlace oficial en ID Ransomware.
No More Ransom.
Sitios de fabricantes antivirus (Emsisoft, Kaspersky, Avast, Bitdefender, Trend Micro).

Seguridad del servicio: puntos de vigilancia

ID Ransomware no expone el contenido de tus archivos: un archivo cifrado sin la clave es criptográficamente inutilizable, incluso para MalwareHunterTeam. La nota de rescate, en cambio, merece atención:

Identificadores únicos de víctima (UID, TID, ID de transacción, dirección Bitcoin personal, enlace Tor único). Enmascáralos antes de subir.
Datos estructurados de empresa a veces inyectados por los atacantes (nombre de la organización, importes específicos). Preserva la confidencialidad antes de un envío público.
Política de retención: ID Ransomware conserva los envíos para enriquecer la base de investigación, pero no publica el contenido. Para casos sensibles (gobierno, sanidad, infraestructuras críticas), recurre a un CSIRT nacional en lugar de la herramienta pública.

En resumen

Identificar la cepa es la primera acción útil tras aislar la máquina. El procedimiento lleva de 10 a 15 minutos, no cuesta nada, y condiciona todo lo que viene: descifrador disponible, modelo de amenaza, obligaciones legales, elección de la herramienta de recuperación.

Empieza por id-ransomware.malwarehunterteam.com, cruza con No More Ransom y BleepingComputer, y decide. Y si estás en pleno ataque sin plan, sigue la metodología completa en Recuperar archivos después de ransomware, o inicia un diagnóstico para evaluar las posibilidades de recuperación.

Recursos