El ransomware cifra archivos específicos, dificultando la recuperación mediante métodos convencionales de desinfección o eliminación, a diferencia de otros tipos de malware. En particular, el ransomware suele cifrar documentos importantes como una acción de seguimiento, y los programas antivirus existentes son fundamentalmente incapaces de prevenirlos. En este estudio, analizamos 97 comportamientos de ransomware del mundo real y encontramos que el 95.88% de ellos involucraron intentos de cifrado. En consecuencia, proponemos un método en tiempo real para determinar si archivos críticos han sido comprometidos a través del cifrado y para recuperarlos en consecuencia. La técnica de detección propuesta, Análisis de Formato Simple (SFA), consiste en tres métodos: Análisis de Formato Simple basado en Estructura Fija (SFA-F), que analiza el formato del archivo; Análisis de Formato Simple basado en Encabezado (SFA-H), que se centra en la información del encabezado del archivo; y Análisis de Formato Simple basado en Estructura Fija y Encabezado (SFA-F-H), un método híbrido que combina ambos. Estas técnicas lograron precisiones de detección que oscilan entre el 95.0% (SFA-F) y el 97.9% (SFA-F-H), superando los enfoques de detección existentes. Además, introducimos un nuevo enfoque de recuperación en tiempo real conocido como restauración de archivos en tiempo real desde daños, que integra la detección SFA con el monitoreo de entrada/salida previo. Esperamos que el enfoque propuesto contribuya significativamente a la mitigación del ransomware en entornos de ciberseguridad.