“你的文件已被加密，72小時內支付贖金，否則數(shù)據(jù)將永久銷毀”——這是許多人都曾遭遇過的網(wǎng)絡勒索（Cyberextortion）的典型場景。

網(wǎng)絡勒索是一種常見的網(wǎng)絡犯罪，黑客通過向企業(yè)或個人的電腦系統(tǒng)植入勒索病毒，使其無法正常打開或運行，從而勒索贖金。Orange Cyberdefense報告顯示，網(wǎng)絡勒索犯罪在全球呈爆炸式增長，2020年以來受害者數(shù)量增至三倍，受影響組織超過1.9萬個。

作為國內最早一批專攻網(wǎng)絡勒索防御的公司，「思而聽」是目前全球少數(shù)具備勒索病毒深度應急防治能力的公司之一。思而聽成立于2022年，通過自研的密鑰捕獲、AI大模型對抗訓練等核心技術，向受到攻擊的用戶提供應急響應、溯源分析、數(shù)據(jù)恢復等防勒索服務。

思而聽真正的起點可以追溯到2015年新疆克拉瑪依一所高中的機房——當時年僅15歲的何穎，與同樣是計算機天才的同學艾力扎提·黑力力（下簡稱“艾力”）在這里創(chuàng)辦“十三年”網(wǎng)絡安全社團，并多次參與網(wǎng)絡安全競賽，引起當?shù)卣c網(wǎng)絡安全領域企業(yè)的關注。此后，思而聽創(chuàng)始人何穎還被多家企業(yè)特邀為網(wǎng)絡安全工程師，帶領團隊協(xié)助國內安全機關打擊上百起網(wǎng)絡安全犯罪。

艾力目前擔任思而聽CTO，高二保送四川大學網(wǎng)絡安全少年班，主導研發(fā)全國首個“勒索病毒密鑰捕獲”技術。市場負責人梁文豪在大學時期加入“十三年”，是“上合之樹”中亞網(wǎng)絡安全議題特邀專家，有多年網(wǎng)絡安全運營、網(wǎng)安大賽項目落地經(jīng)驗。

目前，思而聽客戶已覆蓋全球20多個行業(yè)的500多個單位，累計幫助客戶挽回經(jīng)濟損失逾億元。在夯實國內網(wǎng)絡安全業(yè)務后，思而聽正計劃進一步拓展海外市場，同時將公司技術優(yōu)勢向AI安全等領域延伸。

1.攻破密鑰捕獲技術，研發(fā)網(wǎng)絡勒索病毒“疫苗”

過去十年，“依托”比特幣使用的普及，網(wǎng)絡勒索病毒從“暗網(wǎng)”等相對邊緣的黑色地帶，迅速發(fā)展演變?yōu)橐粭l跨國黑色產(chǎn)業(yè)鏈，波及金融、能源等幾乎所有行業(yè)，以及學校、機場、政府等機構的數(shù)字化系統(tǒng)，每年在全球造成數(shù)百億元損失。

2025年3月23日，馬來西亞吉隆坡國際機場就曾因為遭遇勒索病毒攻擊，機場核心運營系統(tǒng)大規(guī)模異常，持續(xù)癱瘓超過10小時，造成的航班延誤賠償?shù)戎苯咏?jīng)濟損失超過500萬美元。

而AI技術的發(fā)展使勒索病毒攻擊變得更加猖狂。傳統(tǒng)的防御方式是將病毒與特征庫進行靜態(tài)匹配，可以防御一些已知病毒，但對新增變種病毒束手無策。

“我們是國內最早專門從事勒索病毒應急的公司，已經(jīng)累計處理近2000起真實的勒索事件�！绷何暮澜榻B，黑客在發(fā)現(xiàn)某機構的數(shù)字化系統(tǒng)存在安全漏洞后，一般通過釣魚郵件等方式將勒索病毒投遞到目標系統(tǒng)內，再使用加密算法將系統(tǒng)或文件鎖定，迫使受害方支付贖金（一般以比特幣方式）以恢復系統(tǒng)正常。

而思而聽團隊對黑客使用的勒索病毒進行長期研究后發(fā)現(xiàn)，無論勒索病毒怎樣變種，都必須調用操作系統(tǒng)底層的加密函數(shù)，并在內存中生成或加載用于文件加密的密鑰。

因此，如同人體接種疫苗后，抗體能夠識別病毒并將其消滅，艾力帶領技術團隊研發(fā)出一套密鑰捕獲技術，在病毒調用系統(tǒng)加密函數(shù)的瞬間，通過HOOK技術進行攔截并提取正在使用的加密密鑰，從而破解病毒的加密算法，幫助受害用戶恢復數(shù)據(jù)與系統(tǒng)正常。

具體來說，思而聽會為客戶的數(shù)字化系統(tǒng)部署一套從終端監(jiān)測、密鑰捕獲，到云端分析，再到現(xiàn)場溯源的“疫苗”防御體系，并對客戶系統(tǒng)進行實時監(jiān)控。一旦檢測到異常行為，疫苗系統(tǒng)會立即進行攔截；如果攔截失敗，勒索病毒開始執(zhí)行加密流程，疫苗將通過密鑰捕獲技術破解病毒算法。

危機解除后，思而聽會對終端捕獲的病毒進行源碼級分析，還原病毒原始代碼，并與威脅信息上報云端勒索情報平臺。艾力表示，病毒原始樣本也會收錄入思而聽自有的病毒庫與特征庫，為底層AI大模型持續(xù)提供學習數(shù)據(jù)�！拔覀兎⻊盏目蛻粼蕉�，獲得的實戰(zhàn)樣本也會越豐富，反過來賦能疫苗產(chǎn)品不斷進化”。

SAR運行流程

2025年2月21日，思而聽情報監(jiān)控團隊在Telegram黑產(chǎn)群組中監(jiān)測到某客戶的敏感數(shù)據(jù)正在被公開售賣。隨后思而聽啟動應急響應，當天完成輿情處置與病毒溯源，清除黑客留下的后門，并將相關嫌疑人線索提交給監(jiān)管部門。3個月后，涉案嫌疑人被警方抓捕。

應急響應流程

在梁文豪看來，勒索病毒防御是一場“道高一尺，魔高一丈”的無限戰(zhàn)爭。為了使公司能夠持續(xù)輸入優(yōu)秀的網(wǎng)安人才，同時促進信息安全領域的人才建設，思而聽團隊從5年前開始，有意識打造專業(yè)化、場景化的人才培養(yǎng)體系，推出“知行”AI網(wǎng)絡安全教育平臺、“天狩”網(wǎng)絡安全競賽平臺與“魔域”攻防演練平臺。

在此基礎上，思而聽構建起面向網(wǎng)絡安全初學者的交流和實戰(zhàn)演練社區(qū)“青少年CTF平臺”。目前，這一平臺注冊用戶超過2萬多人，為高校、企業(yè)及各類組織承辦80多場公益性質的CTF競賽，使用院校40多家。（注：CTF為Capture The Flag，譯作奪旗賽，是網(wǎng)絡安全領域一種技術競技比賽，參賽者通過解決各類安全挑戰(zhàn)來獲取特定格式的字符串Flag以得分。）

2.搭建全鏈路防御產(chǎn)品體系，年營收達2000萬元

梁文豪表示，近幾年思而聽的業(yè)務主要以應急響應與解密恢復的服務為主。“企業(yè)在遭到勒索病毒攻擊前，往往會忽略信息安全風險。所以第一次找到我們的客戶，大多是已經(jīng)被勒索后想挽回損失�！痹趲褪芄艨蛻簟熬然稹钡倪^程中，思而聽逐漸與客戶建立起信任與長期合作關系，客戶經(jīng)歷過勒索攻擊帶來的損失，防范信息安全風險的意識也會提高。

從“亡羊補牢”到“未雨綢繆”，除了“疫苗”產(chǎn)品，思而聽逐漸構建起針對勒索病毒的一體化產(chǎn)品解決方案。“之前有幾家銀行客戶表示，上級部門要求金融機構做好信息安全能力評估，問我們能不能提供相應的技術服務，所以我們順勢推出‘體檢’的評測產(chǎn)品�！绷何暮澜榻B，評測產(chǎn)品利用思而聽長期積累的勒索病毒樣本庫，可以在客戶指定的隔離環(huán)境中，模擬真實的勒索病毒攻擊，幫助客戶評估現(xiàn)有安全產(chǎn)品的實際攔截率、檢測能力與響應短板并生成測評報告。

以往在服務客戶時，艾力發(fā)現(xiàn)，有的文件在黑客加密時受損，解密后數(shù)據(jù)無法完全恢復�！暗蛻舨皇遣《緦＜�，我們很難證明數(shù)據(jù)受損是黑客造成的，不是解密過程本身的技術問題。后來為了不影響客戶體驗，我們會在解密后主動幫客戶把數(shù)據(jù)修復也做好，保障最終的交付質量。”

為保障客戶數(shù)據(jù)安全，思而聽內部建立了嚴格的權限分級、流程隔離與操作審計機制，避免單點人員掌握全鏈路權限。

2025年思而聽營收達到2000萬元，其中65%來自應急響應服務，35%來自標準化產(chǎn)品銷售。梁文豪表示，由于應急響應的解決方案難以規(guī)模化，且受限于頂尖人才的數(shù)量，思而聽希望在未來幾年能將產(chǎn)品收入占比從35%提升至70%。

而提升產(chǎn)品收入占比，有賴于企業(yè)事前防范意識的增強，為此思而聽在抖音、百度等內容平臺上，不斷發(fā)布關于網(wǎng)絡勒索病毒與防御的科普視頻，進行長期市場教育�！澳壳岸桃曨l平臺已經(jīng)開始幫助我們獲客，轉化率在20%左右�！绷何暮辣硎�。

3.押注海外市場和AI安全

在中國企業(yè)全球化布局的大趨勢下，出海企業(yè)在海外市場面臨的信息安全風險也迅速增加。而由于數(shù)據(jù)安全合規(guī)要求，中企往往無法直接與國外網(wǎng)安公司合作。在梁文豪看來，這恰好給思而聽提供了新的市場機遇，為中企出海的信息安全護航。

此前思而聽曾為伊拉克某超大型油田提供安全服務，派遣員工在現(xiàn)場負責日常監(jiān)控與維護。一旦出現(xiàn)疑似勒索攻擊事件，駐場團隊第一時間啟動應急處置，國內技術團隊則同時在遠程響應并進行病毒溯源分析。

除了拓展海外市場，思而聽也在密切關注大模型時代下企業(yè)信息的AI安全問題。尤其是OpenClaw等AI智能體框架的迅速普及，給個人及機構的信息安全提出新的挑戰(zhàn)。

“AI使用安全的前提是數(shù)據(jù)安全，而數(shù)據(jù)安全和防勒索病毒是強掛鉤的，也是我們擅長的�！�梁文豪表示，在AI正快速改變企業(yè)數(shù)字化邊界的當下，網(wǎng)絡安全面對的早已不只是單點漏洞和單次攻擊。攻擊方式在加速演化，數(shù)據(jù)流動更頻繁，企業(yè)的風險暴露面也在不斷擴大。對思而聽來說，這意味著防勒索不只是“出了事之后去恢復”，而是把過去在實戰(zhàn)中積累的經(jīng)驗，沉淀成更長期的情報能力、產(chǎn)品能力和體系化防護能力。

當我們問梁文豪和艾力，為什么沒有選擇自己做黑客，而要辛苦創(chuàng)業(yè)時，梁文豪笑道：“幾乎每個的客戶都問過這個問題。黑客雖然可以輕松獲得巨額收益，但也意味著一生都只能過隱姓埋名的生活，而我們幾個人能一起走到今天，就是因為想用自己的技術能力，建立一家持久、正向的偉大公司�！彼硎荆绕稹疤觳拧边@樣的標簽，他們更愿意把自己定義為一群長期待在一線、不斷和真實問題打交道的人。

何穎和艾力在高中時期展現(xiàn)出計算機方面的天賦后，很快得到學校以及當?shù)卣块T的支持，在艾力看來，在自己的世界觀尚未形成的青少年時期，這些支持對他們此后人生方向的選擇起到重要的引導作用，“讓我們知道自己的能力不是只能當黑客，還可以為其他人做正向積極的事情，而且能收獲更大的個人價值感，比用不道德的方式掙點錢有意思多了�！�

思而聽創(chuàng)業(yè)早期的資金，除了來自創(chuàng)始團隊參加各類信息安全賽事的獎金，也得到政府方面的關注與支持。2022年，思而聽獲得山東省國資委下屬上市公司正中信息的510萬元戰(zhàn)略投資。

思而聽團隊

“十三年”的故事始于少年時代的技術理想，而“思而聽”則像是這段理想在今天的延續(xù)：“我們始終提醒自己，記得為什么出發(fā)，也始終堅持思考、傾聽和解決真實問題。在這個不斷變化的 AI 時代，我們想做的，不只是一次次幫客戶把數(shù)據(jù)‘搶回來’，而是持續(xù)守住更多企業(yè)數(shù)字世界里的安全底線�！绷何暮勒f道。

（作者：馮亞玲 楊越欣）