Non è correttissimo ciò che leggo.

Con attacchi di forza bruta è ovviamente possibile ricavare la password dal suo hash MD5.

Solo che "decriptarla" non è il verbo esatto, in quanto non viene criptata perchè MD5 non è un algoritmo di cifratura, ma di firma...

La risposta è, cmq, certo che esiste un tool di forza bruta, te lo puoi fare anche tu in PHP, provando tutte le possibili combinazioni di lettere e caratteri da 1 a N simboli.
Ovvio che se la pwd era forte te lo scordi in partenza, ma se era di 3 lettere ci metterai poco.

Occhio che l'operazione ti potrebbe dare falsi positivi (collisioni).