Es correcto que el cifrado implementado correctamente no se puede descifrar sin tener la contraseña.
Los descifradores que ves en ese sitio no intentan en realidad todas las posibilidades de obtener la contraseña (conocida como "fuerza bruta") pero buscan otras vulnerabilidades para descifrar los archivos de un ransomware específico.
Algunos de estos ransomwares están mal escritos y le permiten a un experto mirar el código y encontrar una manera de descifrar sin conocer la contraseña. Algunos están tan mal escritos que la clave para el descifrado se puede encontrar en el propio código.
La razón por la que se puede descifrar un ransomware sin la contraseña es la misma razón por la que no todos los programas de encriptación son buenos: crear un programa que encripta de forma segura es bastante difícil, como lo están descubriendo algunos de estos fabricantes de ransomware.