“你的文件已被加密，72小時(shí)內(nèi)支付贖金，否則數(shù)據(jù)將永久銷毀”——這是許多人都曾遭遇過的網(wǎng)絡(luò)勒索（Cyberextortion）的典型場(chǎng)景。

網(wǎng)絡(luò)勒索是一種常見的網(wǎng)絡(luò)犯罪，黑客通過向企業(yè)或個(gè)人的電腦系統(tǒng)植入勒索病毒，使其無法正常打開或運(yùn)行，從而勒索贖金。Orange Cyberdefense報(bào)告顯示，網(wǎng)絡(luò)勒索犯罪在全球呈爆炸式增長(zhǎng)，2020年以來受害者數(shù)量增至三倍，受影響組織超過1.9萬個(gè)。

作為國內(nèi)最早一批專攻網(wǎng)絡(luò)勒索防御的公司，「思而聽」是目前全球少數(shù)具備勒索病毒深度應(yīng)急防治能力的公司之一。思而聽成立于2022年，通過自研的密鑰捕獲、AI大模型對(duì)抗訓(xùn)練等核心技術(shù)，向受到攻擊的用戶提供應(yīng)急響應(yīng)、溯源分析、數(shù)據(jù)恢復(fù)等防勒索服務(wù)。

思而聽真正的起點(diǎn)可以追溯到2015年新疆克拉瑪依一所高中的機(jī)房——當(dāng)時(shí)年僅15歲的何穎，與同樣是計(jì)算機(jī)天才的同學(xué)艾力扎提·黑力力（下簡(jiǎn)稱“艾力”）在這里創(chuàng)辦“十三年”網(wǎng)絡(luò)安全社團(tuán)，并多次參與網(wǎng)絡(luò)安全競(jìng)賽，引起當(dāng)?shù)卣c網(wǎng)絡(luò)安全領(lǐng)域企業(yè)的關(guān)注。此后，思而聽創(chuàng)始人何穎還被多家企業(yè)特邀為網(wǎng)絡(luò)安全工程師，帶領(lǐng)團(tuán)隊(duì)協(xié)助國內(nèi)安全機(jī)關(guān)打擊上百起網(wǎng)絡(luò)安全犯罪。

艾力目前擔(dān)任思而聽CTO，高二保送四川大學(xué)網(wǎng)絡(luò)安全少年班，主導(dǎo)研發(fā)全國首個(gè)“勒索病毒密鑰捕獲”技術(shù)。市場(chǎng)負(fù)責(zé)人梁文豪在大學(xué)時(shí)期加入“十三年”，是“上合之樹”中亞網(wǎng)絡(luò)安全議題特邀專家，有多年網(wǎng)絡(luò)安全運(yùn)營、網(wǎng)安大賽項(xiàng)目落地經(jīng)驗(yàn)。

目前，思而聽客戶已覆蓋全球20多個(gè)行業(yè)的500多個(gè)單位，累計(jì)幫助客戶挽回經(jīng)濟(jì)損失逾億元。在夯實(shí)國內(nèi)網(wǎng)絡(luò)安全業(yè)務(wù)后，思而聽正計(jì)劃進(jìn)一步拓展海外市場(chǎng)，同時(shí)將公司技術(shù)優(yōu)勢(shì)向AI安全等領(lǐng)域延伸。

1.攻破密鑰捕獲技術(shù)，研發(fā)網(wǎng)絡(luò)勒索病毒“疫苗”

過去十年，“依托”比特幣使用的普及，網(wǎng)絡(luò)勒索病毒從“暗網(wǎng)”等相對(duì)邊緣的黑色地帶，迅速發(fā)展演變?yōu)橐粭l跨國黑色產(chǎn)業(yè)鏈，波及金融、能源等幾乎所有行業(yè)，以及學(xué)校、機(jī)場(chǎng)、政府等機(jī)構(gòu)的數(shù)字化系統(tǒng)，每年在全球造成數(shù)百億元損失。

2025年3月23日，馬來西亞吉隆坡國際機(jī)場(chǎng)就曾因?yàn)樵庥隼账鞑《竟?，機(jī)場(chǎng)核心運(yùn)營系統(tǒng)大規(guī)模異常，持續(xù)癱瘓超過10小時(shí)，造成的航班延誤賠償?shù)戎苯咏?jīng)濟(jì)損失超過500萬美元。

而AI技術(shù)的發(fā)展使勒索病毒攻擊變得更加猖狂。傳統(tǒng)的防御方式是將病毒與特征庫進(jìn)行靜態(tài)匹配，可以防御一些已知病毒，但對(duì)新增變種病毒束手無策。

“我們是國內(nèi)最早專門從事勒索病毒應(yīng)急的公司，已經(jīng)累計(jì)處理近2000起真實(shí)的勒索事件?！绷何暮澜榻B，黑客在發(fā)現(xiàn)某機(jī)構(gòu)的數(shù)字化系統(tǒng)存在安全漏洞后，一般通過釣魚郵件等方式將勒索病毒投遞到目標(biāo)系統(tǒng)內(nèi)，再使用加密算法將系統(tǒng)或文件鎖定，迫使受害方支付贖金（一般以比特幣方式）以恢復(fù)系統(tǒng)正常。

而思而聽團(tuán)隊(duì)對(duì)黑客使用的勒索病毒進(jìn)行長(zhǎng)期研究后發(fā)現(xiàn)，無論勒索病毒怎樣變種，都必須調(diào)用操作系統(tǒng)底層的加密函數(shù)，并在內(nèi)存中生成或加載用于文件加密的密鑰。

因此，如同人體接種疫苗后，抗體能夠識(shí)別病毒并將其消滅，艾力帶領(lǐng)技術(shù)團(tuán)隊(duì)研發(fā)出一套密鑰捕獲技術(shù)，在病毒調(diào)用系統(tǒng)加密函數(shù)的瞬間，通過HOOK技術(shù)進(jìn)行攔截并提取正在使用的加密密鑰，從而破解病毒的加密算法，幫助受害用戶恢復(fù)數(shù)據(jù)與系統(tǒng)正常。

具體來說，思而聽會(huì)為客戶的數(shù)字化系統(tǒng)部署一套從終端監(jiān)測(cè)、密鑰捕獲，到云端分析，再到現(xiàn)場(chǎng)溯源的“疫苗”防御體系，并對(duì)客戶系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控。一旦檢測(cè)到異常行為，疫苗系統(tǒng)會(huì)立即進(jìn)行攔截；如果攔截失敗，勒索病毒開始執(zhí)行加密流程，疫苗將通過密鑰捕獲技術(shù)破解病毒算法。

危機(jī)解除后，思而聽會(huì)對(duì)終端捕獲的病毒進(jìn)行源碼級(jí)分析，還原病毒原始代碼，并與威脅信息上報(bào)云端勒索情報(bào)平臺(tái)。艾力表示，病毒原始樣本也會(huì)收錄入思而聽自有的病毒庫與特征庫，為底層AI大模型持續(xù)提供學(xué)習(xí)數(shù)據(jù)?！拔覀兎?wù)的客戶越多，獲得的實(shí)戰(zhàn)樣本也會(huì)越豐富，反過來賦能疫苗產(chǎn)品不斷進(jìn)化”。

SAR運(yùn)行流程

2025年2月21日，思而聽情報(bào)監(jiān)控團(tuán)隊(duì)在Telegram黑產(chǎn)群組中監(jiān)測(cè)到某客戶的敏感數(shù)據(jù)正在被公開售賣。隨后思而聽啟動(dòng)應(yīng)急響應(yīng)，當(dāng)天完成輿情處置與病毒溯源，清除黑客留下的后門，并將相關(guān)嫌疑人線索提交給監(jiān)管部門。3個(gè)月后，涉案嫌疑人被警方抓捕。

應(yīng)急響應(yīng)流程

在梁文豪看來，勒索病毒防御是一場(chǎng)“道高一尺，魔高一丈”的無限戰(zhàn)爭(zhēng)。為了使公司能夠持續(xù)輸入優(yōu)秀的網(wǎng)安人才，同時(shí)促進(jìn)信息安全領(lǐng)域的人才建設(shè)，思而聽團(tuán)隊(duì)從5年前開始，有意識(shí)打造專業(yè)化、場(chǎng)景化的人才培養(yǎng)體系，推出“知行”AI網(wǎng)絡(luò)安全教育平臺(tái)、“天狩”網(wǎng)絡(luò)安全競(jìng)賽平臺(tái)與“魔域”攻防演練平臺(tái)。

在此基礎(chǔ)上，思而聽構(gòu)建起面向網(wǎng)絡(luò)安全初學(xué)者的交流和實(shí)戰(zhàn)演練社區(qū)“青少年CTF平臺(tái)”。目前，這一平臺(tái)注冊(cè)用戶超過2萬多人，為高校、企業(yè)及各類組織承辦80多場(chǎng)公益性質(zhì)的CTF競(jìng)賽，使用院校40多家。（注：CTF為Capture The Flag，譯作奪旗賽，是網(wǎng)絡(luò)安全領(lǐng)域一種技術(shù)競(jìng)技比賽，參賽者通過解決各類安全挑戰(zhàn)來獲取特定格式的字符串Flag以得分。）

2.搭建全鏈路防御產(chǎn)品體系，年?duì)I收達(dá)2000萬元

梁文豪表示，近幾年思而聽的業(yè)務(wù)主要以應(yīng)急響應(yīng)與解密恢復(fù)的服務(wù)為主?！捌髽I(yè)在遭到勒索病毒攻擊前，往往會(huì)忽略信息安全風(fēng)險(xiǎn)。所以第一次找到我們的客戶，大多是已經(jīng)被勒索后想挽回?fù)p失?！痹趲褪芄艨蛻簟熬然稹钡倪^程中，思而聽逐漸與客戶建立起信任與長(zhǎng)期合作關(guān)系，客戶經(jīng)歷過勒索攻擊帶來的損失，防范信息安全風(fēng)險(xiǎn)的意識(shí)也會(huì)提高。

從“亡羊補(bǔ)牢”到“未雨綢繆”，除了“疫苗”產(chǎn)品，思而聽逐漸構(gòu)建起針對(duì)勒索病毒的一體化產(chǎn)品解決方案。“之前有幾家銀行客戶表示，上級(jí)部門要求金融機(jī)構(gòu)做好信息安全能力評(píng)估，問我們能不能提供相應(yīng)的技術(shù)服務(wù)，所以我們順勢(shì)推出‘體檢’的評(píng)測(cè)產(chǎn)品?！绷何暮澜榻B，評(píng)測(cè)產(chǎn)品利用思而聽長(zhǎng)期積累的勒索病毒樣本庫，可以在客戶指定的隔離環(huán)境中，模擬真實(shí)的勒索病毒攻擊，幫助客戶評(píng)估現(xiàn)有安全產(chǎn)品的實(shí)際攔截率、檢測(cè)能力與響應(yīng)短板并生成測(cè)評(píng)報(bào)告。

以往在服務(wù)客戶時(shí)，艾力發(fā)現(xiàn)，有的文件在黑客加密時(shí)受損，解密后數(shù)據(jù)無法完全恢復(fù)?！暗蛻舨皇遣《緦＜?，我們很難證明數(shù)據(jù)受損是黑客造成的，不是解密過程本身的技術(shù)問題。后來為了不影響客戶體驗(yàn)，我們會(huì)在解密后主動(dòng)幫客戶把數(shù)據(jù)修復(fù)也做好，保障最終的交付質(zhì)量。”

為保障客戶數(shù)據(jù)安全，思而聽內(nèi)部建立了嚴(yán)格的權(quán)限分級(jí)、流程隔離與操作審計(jì)機(jī)制，避免單點(diǎn)人員掌握全鏈路權(quán)限。

2025年思而聽營收達(dá)到2000萬元，其中65%來自應(yīng)急響應(yīng)服務(wù)，35%來自標(biāo)準(zhǔn)化產(chǎn)品銷售。梁文豪表示，由于應(yīng)急響應(yīng)的解決方案難以規(guī)?；?，且受限于頂尖人才的數(shù)量，思而聽希望在未來幾年能將產(chǎn)品收入占比從35%提升至70%。

而提升產(chǎn)品收入占比，有賴于企業(yè)事前防范意識(shí)的增強(qiáng)，為此思而聽在抖音、百度等內(nèi)容平臺(tái)上，不斷發(fā)布關(guān)于網(wǎng)絡(luò)勒索病毒與防御的科普視頻，進(jìn)行長(zhǎng)期市場(chǎng)教育?！澳壳岸桃曨l平臺(tái)已經(jīng)開始幫助我們獲客，轉(zhuǎn)化率在20%左右?！绷何暮辣硎?。

3.押注海外市場(chǎng)和AI安全

在中國企業(yè)全球化布局的大趨勢(shì)下，出海企業(yè)在海外市場(chǎng)面臨的信息安全風(fēng)險(xiǎn)也迅速增加。而由于數(shù)據(jù)安全合規(guī)要求，中企往往無法直接與國外網(wǎng)安公司合作。在梁文豪看來，這恰好給思而聽提供了新的市場(chǎng)機(jī)遇，為中企出海的信息安全護(hù)航。

此前思而聽曾為伊拉克某超大型油田提供安全服務(wù)，派遣員工在現(xiàn)場(chǎng)負(fù)責(zé)日常監(jiān)控與維護(hù)。一旦出現(xiàn)疑似勒索攻擊事件，駐場(chǎng)團(tuán)隊(duì)第一時(shí)間啟動(dòng)應(yīng)急處置，國內(nèi)技術(shù)團(tuán)隊(duì)則同時(shí)在遠(yuǎn)程響應(yīng)并進(jìn)行病毒溯源分析。

除了拓展海外市場(chǎng)，思而聽也在密切關(guān)注大模型時(shí)代下企業(yè)信息的AI安全問題。尤其是OpenClaw等AI智能體框架的迅速普及，給個(gè)人及機(jī)構(gòu)的信息安全提出新的挑戰(zhàn)。

“AI使用安全的前提是數(shù)據(jù)安全，而數(shù)據(jù)安全和防勒索病毒是強(qiáng)掛鉤的，也是我們擅長(zhǎng)的?！?strong>梁文豪表示，在AI正快速改變企業(yè)數(shù)字化邊界的當(dāng)下，網(wǎng)絡(luò)安全面對(duì)的早已不只是單點(diǎn)漏洞和單次攻擊。攻擊方式在加速演化，數(shù)據(jù)流動(dòng)更頻繁，企業(yè)的風(fēng)險(xiǎn)暴露面也在不斷擴(kuò)大。對(duì)思而聽來說，這意味著防勒索不只是“出了事之后去恢復(fù)”，而是把過去在實(shí)戰(zhàn)中積累的經(jīng)驗(yàn)，沉淀成更長(zhǎng)期的情報(bào)能力、產(chǎn)品能力和體系化防護(hù)能力。

當(dāng)我們問梁文豪和艾力，為什么沒有選擇自己做黑客，而要辛苦創(chuàng)業(yè)時(shí)，梁文豪笑道：“幾乎每個(gè)的客戶都問過這個(gè)問題。黑客雖然可以輕松獲得巨額收益，但也意味著一生都只能過隱姓埋名的生活，而我們幾個(gè)人能一起走到今天，就是因?yàn)橄胗米约旱募夹g(shù)能力，建立一家持久、正向的偉大公司?！彼硎?，比起“天才”這樣的標(biāo)簽，他們更愿意把自己定義為一群長(zhǎng)期待在一線、不斷和真實(shí)問題打交道的人。

何穎和艾力在高中時(shí)期展現(xiàn)出計(jì)算機(jī)方面的天賦后，很快得到學(xué)校以及當(dāng)?shù)卣块T的支持，在艾力看來，在自己的世界觀尚未形成的青少年時(shí)期，這些支持對(duì)他們此后人生方向的選擇起到重要的引導(dǎo)作用，“讓我們知道自己的能力不是只能當(dāng)黑客，還可以為其他人做正向積極的事情，而且能收獲更大的個(gè)人價(jià)值感，比用不道德的方式掙點(diǎn)錢有意思多了?！?/p>

思而聽創(chuàng)業(yè)早期的資金，除了來自創(chuàng)始團(tuán)隊(duì)參加各類信息安全賽事的獎(jiǎng)金，也得到政府方面的關(guān)注與支持。2022年，思而聽獲得山東省國資委下屬上市公司正中信息的510萬元戰(zhàn)略投資。

思而聽團(tuán)隊(duì)

“十三年”的故事始于少年時(shí)代的技術(shù)理想，而“思而聽”則像是這段理想在今天的延續(xù)：“我們始終提醒自己，記得為什么出發(fā)，也始終堅(jiān)持思考、傾聽和解決真實(shí)問題。在這個(gè)不斷變化的 AI 時(shí)代，我們想做的，不只是一次次幫客戶把數(shù)據(jù)‘搶回來’，而是持續(xù)守住更多企業(yè)數(shù)字世界里的安全底線?！绷何暮勒f道。

（作者：馮亞玲 楊越欣）