" 你的文件已被加密,72 小时内支付赎金,否则数据将永久销毁 " ——这是许多人都曾遭遇过的网络勒索(Cyberextortion)的典型场景。
网络勒索是一种常见的网络犯罪,黑客通过向企业或个人的电脑系统植入勒索病毒,使其无法正常打开或运行,从而勒索赎金。Orange Cyberdefense 报告显示,网络勒索犯罪在全球呈爆炸式增长,2020 年以来受害者数量增至三倍,受影响组织超过 1.9 万个。
作为国内最早一批专攻网络勒索防御的公司,「思而听」是目前全球少数具备勒索病毒深度应急防治能力的公司之一。思而听成立于 2022 年,通过自研的密钥捕获、AI 大模型对抗训练等核心技术,向受到攻击的用户提供应急响应、溯源分析、数据恢复等防勒索服务。
思而听真正的起点可以追溯到 2015 年新疆克拉玛依一所高中的机房——当时年仅 15 岁的何颖,与同样是计算机天才的同学艾力扎提 · 黑力力(下简称 " 艾力 ")在这里创办 " 十三年 " 网络安全社团,并多次参与网络安全竞赛,引起当地政府与网络安全领域企业的关注。此后,思而听创始人何颖还被多家企业特邀为网络安全工程师,带领团队协助国内安全机关打击上百起网络安全犯罪。
艾力目前担任思而听 CTO,高二保送四川大学网络安全少年班,主导研发全国首个 " 勒索病毒密钥捕获 " 技术。市场负责人梁文豪在大学时期加入 " 十三年 ",是 " 上合之树 " 中亚网络安全议题特邀专家,有多年网络安全运营、网安大赛项目落地经验。
目前,思而听客户已覆盖全球 20 多个行业的 500 多个单位,累计帮助客户挽回经济损失逾亿元。在夯实国内网络安全业务后,思而听正计划进一步拓展海外市场,同时将公司技术优势向 AI 安全等领域延伸。
1. 攻破密钥捕获技术,研发网络勒索病毒 " 疫苗 "
过去十年," 依托 " 比特币使用的普及,网络勒索病毒从 " 暗网 " 等相对边缘的黑色地带,迅速发展演变为一条跨国黑色产业链,波及金融、能源等几乎所有行业,以及学校、机场、政府等机构的数字化系统,每年在全球造成数百亿元损失。
2025 年 3 月 23 日,马来西亚吉隆坡国际机场就曾因为遭遇勒索病毒攻击,机场核心运营系统大规模异常,持续瘫痪超过 10 小时,造成的航班延误赔偿等直接经济损失超过 500 万美元。
而 AI 技术的发展使勒索病毒攻击变得更加猖狂。传统的防御方式是将病毒与特征库进行静态匹配,可以防御一些已知病毒,但对新增变种病毒束手无策。
" 我们是国内最早专门从事勒索病毒应急的公司,已经累计处理近 2000 起真实的勒索事件。" 梁文豪介绍,黑客在发现某机构的数字化系统存在安全漏洞后,一般通过钓鱼邮件等方式将勒索病毒投递到目标系统内,再使用加密算法将系统或文件锁定,迫使受害方支付赎金(一般以比特币方式)以恢复系统正常。
而思而听团队对黑客使用的勒索病毒进行长期研究后发现,无论勒索病毒怎样变种,都必须调用操作系统底层的加密函数,并在内存中生成或加载用于文件加密的密钥。
因此,如同人体接种疫苗后,抗体能够识别病毒并将其消灭,艾力带领技术团队研发出一套密钥捕获技术,在病毒调用系统加密函数的瞬间,通过 HOOK 技术进行拦截并提取正在使用的加密密钥,从而破解病毒的加密算法,帮助受害用户恢复数据与系统正常。
具体来说,思而听会为客户的数字化系统部署一套从终端监测、密钥捕获,到云端分析,再到现场溯源的 " 疫苗 " 防御体系,并对客户系统进行实时监控。一旦检测到异常行为,疫苗系统会立即进行拦截;如果拦截失败,勒索病毒开始执行加密流程,疫苗将通过密钥捕获技术破解病毒算法。
危机解除后,思而听会对终端捕获的病毒进行源码级分析,还原病毒原始代码,并与威胁信息上报云端勒索情报平台。艾力表示,病毒原始样本也会收录入思而听自有的病毒库与特征库,为底层 AI 大模型持续提供学习数据。" 我们服务的客户越多,获得的实战样本也会越丰富,反过来赋能疫苗产品不断进化 "。
2025 年 2 月 21 日,思而听情报监控团队在 Telegram 黑产群组中监测到某客户的敏感数据正在被公开售卖。随后思而听启动应急响应,当天完成舆情处置与病毒溯源,清除黑客留下的后门,并将相关嫌疑人线索提交给监管部门。3 个月后,涉案嫌疑人被警方抓捕。
在梁文豪看来,勒索病毒防御是一场 " 道高一尺,魔高一丈 " 的无限战争。为了使公司能够持续输入优秀的网安人才,同时促进信息安全领域的人才建设,思而听团队从 5 年前开始,有意识打造专业化、场景化的人才培养体系,推出 " 知行 "AI 网络安全教育平台、" 天狩 " 网络安全竞赛平台与 " 魔域 " 攻防演练平台。
在此基础上,思而听构建起面向网络安全初学者的交流和实战演练社区 " 青少年 CTF 平台 "。目前,这一平台注册用户超过 2 万多人,为高校、企业及各类组织承办 80 多场公益性质的 CTF 竞赛,使用院校 40 多家。(注:CTF 为 Capture The Flag,译作夺旗赛,是网络安全领域一种技术竞技比赛,参赛者通过解决各类安全挑战来获取特定格式的字符串 Flag 以得分。)
2. 搭建全链路防御产品体系,年营收达 2000 万元
梁文豪表示,近几年思而听的业务主要以应急响应与解密恢复的服务为主。" 企业在遭到勒索病毒攻击前,往往会忽略信息安全风险。所以第一次找到我们的客户,大多是已经被勒索后想挽回损失。" 在帮受攻击客户 " 救火 " 的过程中,思而听逐渐与客户建立起信任与长期合作关系,客户经历过勒索攻击带来的损失,防范信息安全风险的意识也会提高。
从 " 亡羊补牢 " 到 " 未雨绸缪 ",除了 " 疫苗 " 产品,思而听逐渐构建起针对勒索病毒的一体化产品解决方案。" 之前有几家银行客户表示,上级部门要求金融机构做好信息安全能力评估,问我们能不能提供相应的技术服务,所以我们顺势推出‘体检’的评测产品。" 梁文豪介绍,评测产品利用思而听长期积累的勒索病毒样本库,可以在客户指定的隔离环境中,模拟真实的勒索病毒攻击,帮助客户评估现有安全产品的实际拦截率、检测能力与响应短板并生成测评报告。
以往在服务客户时,艾力发现,有的文件在黑客加密时受损,解密后数据无法完全恢复。" 但客户不是病毒专家,我们很难证明数据受损是黑客造成的,不是解密过程本身的技术问题。后来为了不影响客户体验,我们会在解密后主动帮客户把数据修复也做好,保障最终的交付质量。"
为保障客户数据安全,思而听内部建立了严格的权限分级、流程隔离与操作审计机制,避免单点人员掌握全链路权限。
2025 年思而听营收达到 2000 万元,其中 65% 来自应急响应服务,35% 来自标准化产品销售。梁文豪表示,由于应急响应的解决方案难以规模化,且受限于顶尖人才的数量,思而听希望在未来几年能将产品收入占比从 35% 提升至 70%。
而提升产品收入占比,有赖于企业事前防范意识的增强,为此思而听在抖音、百度等内容平台上,不断发布关于网络勒索病毒与防御的科普视频,进行长期市场教育。" 目前短视频平台已经开始帮助我们获客,转化率在 20% 左右。" 梁文豪表示。
3. 押注海外市场和 AI 安全
在中国企业全球化布局的大趋势下,出海企业在海外市场面临的信息安全风险也迅速增加。而由于数据安全合规要求,中企往往无法直接与国外网安公司合作。在梁文豪看来,这恰好给思而听提供了新的市场机遇,为中企出海的信息安全护航。
此前思而听曾为伊拉克某超大型油田提供安全服务,派遣员工在现场负责日常监控与维护。一旦出现疑似勒索攻击事件,驻场团队第一时间启动应急处置,国内技术团队则同时在远程响应并进行病毒溯源分析。
除了拓展海外市场,思而听也在密切关注大模型时代下企业信息的 AI 安全问题。尤其是 OpenClaw 等 AI 智能体框架的迅速普及,给个人及机构的信息安全提出新的挑战。
"AI 使用安全的前提是数据安全,而数据安全和防勒索病毒是强挂钩的,也是我们擅长的。"梁文豪表示,在 AI 正快速改变企业数字化边界的当下,网络安全面对的早已不只是单点漏洞和单次攻击。攻击方式在加速演化,数据流动更频繁,企业的风险暴露面也在不断扩大。对思而听来说,这意味着防勒索不只是 " 出了事之后去恢复 ",而是把过去在实战中积累的经验,沉淀成更长期的情报能力、产品能力和体系化防护能力。
当我们问梁文豪和艾力,为什么没有选择自己做黑客,而要辛苦创业时,梁文豪笑道:" 几乎每个的客户都问过这个问题。黑客虽然可以轻松获得巨额收益,但也意味着一生都只能过隐姓埋名的生活,而我们几个人能一起走到今天,就是因为想用自己的技术能力,建立一家持久、正向的伟大公司。" 他表示,比起 " 天才 " 这样的标签,他们更愿意把自己定义为一群长期待在一线、不断和真实问题打交道的人。
何颖和艾力在高中时期展现出计算机方面的天赋后,很快得到学校以及当地政府部门的支持,在艾力看来,在自己的世界观尚未形成的青少年时期,这些支持对他们此后人生方向的选择起到重要的引导作用," 让我们知道自己的能力不是只能当黑客,还可以为其他人做正向积极的事情,而且能收获更大的个人价值感,比用不道德的方式挣点钱有意思多了。"
思而听创业早期的资金,除了来自创始团队参加各类信息安全赛事的奖金,也得到政府方面的关注与支持。2022 年,思而听获得山东省国资委下属上市公司正中信息的 510 万元战略投资。
" 十三年 " 的故事始于少年时代的技术理想,而 " 思而听 " 则像是这段理想在今天的延续:" 我们始终提醒自己,记得为什么出发,也始终坚持思考、倾听和解决真实问题。在这个不断变化的 AI 时代,我们想做的,不只是一次次帮客户把数据‘抢回来’,而是持续守住更多企业数字世界里的安全底线。" 梁文豪说道。
(作者:冯亚玲 杨越欣)
