El ransomware es uno de los ciberataques más extendidos. consiste en cifrar los archivos de un usuario o bloquear el teléfono inteligente para chantajear a la víctima. El software de ataque se ordena en el dispositivo infectado desde el servidor remoto del atacante, conocido como comando y control. En este trabajo, proponemos un método para recuperarse de un ataque de ransomware Locker.CB!tr después de que haya infectado y afectado a un teléfono inteligente. La novedad de nuestro enfoque radica en explotar la comunicación entre el ransomware en el dispositivo infectado y el servidor de comando y control del atacante como un punto para revertir acciones disruptivas como el bloqueo de pantalla o la encriptación de archivos. Para este propósito, llevamos a cabo tanto un análisis dinámico como estático del código fuente decompilado del ransomware Locker.CB!tr para comprender sus principios de operación y explotamos patrones de comunicación desde la capa IP hasta la capa de aplicación para suplantar completamente al servidor de comando y control. De esta manera, obtuvimos control total sobre la instancia del ransomware Locker.CB!tr. A partir de ese momento, pudimos ordenar a la instancia del ransomware Locker.CB!tr en el dispositivo infectado desbloquear el teléfono inteligente o descifrar los archivos. Las contribuciones de este trabajo son un método novedoso para recuperar el teléfono móvil después de un ataque de ransomware basado en el análisis de la comunicación del ransomware con el servidor C&C; y un mecanismo para suplantar el servidor C&C del ransomware y así obtener control total sobre la instancia del ransomware.