從高中社團起步，三個00后天才研發網絡勒索病毒“疫苗”，幫企業從黑客手中“搶”數據 | 水下項目

“你的文件已被加密，72小時內支付贖金，否則數據將永久銷毀”——這是許多人都曾遭遇過的網絡勒索（Cyberextortion）的典型場景。

網絡勒索是一種常見的網絡犯罪，黑客通過向企業或個人的電腦系統植入勒索病毒，使其無法正常打開或運行，從而勒索贖金。Orange Cyberdefense報告顯示，網絡勒索犯罪在全球呈爆炸式增長，2020年以來受害者數量增至三倍，受影響組織超過1.9萬個。

作為國內最早一批專攻網絡勒索防御的公司，「思而聽」是目前全球少數具備勒索病毒深度應急防治能力的公司之一。思而聽成立于2022年，通過自研的密鑰捕獲、AI大模型對抗訓練等核心技術，向受到攻擊的用戶提供應急響應、溯源分析、數據恢復等防勒索服務。

思而聽真正的起點可以追溯到2015年新疆克拉瑪依一所高中的機房——當時年僅15歲的何穎，與同樣是計算機天才的同學艾力扎提·黑力力（下簡稱“艾力”）在這里創辦“十三年”網絡安全社團，并多次參與網絡安全競賽，引起當地政府與網絡安全領域企業的關注。此后，思而聽創始人何穎還被多家企業特邀為網絡安全工程師，帶領團隊協助國內安全機關打擊上百起網絡安全犯罪。

艾力目前擔任思而聽CTO，高二保送四川大學網絡安全少年班，主導研發全國首個“勒索病毒密鑰捕獲”技術。市場負責人梁文豪在大學時期加入“十三年”，是“上合之樹”中亞網絡安全議題特邀專家，有多年網絡安全運營、網安大賽項目落地經驗。

目前，思而聽客戶已覆蓋全球20多個行業的500多個單位，累計幫助客戶挽回經濟損失逾億元。在夯實國內網絡安全業務后，思而聽正計劃進一步拓展海外市場，同時將公司技術優勢向AI安全等領域延伸。

1.攻破密鑰捕獲技術，研發網絡勒索病毒“疫苗”

過去十年，“依托”比特幣使用的普及，網絡勒索病毒從“暗網”等相對邊緣的黑色地帶，迅速發展演變為一條跨國黑色產業鏈，波及金融、能源等幾乎所有行業，以及學校、機場、政府等機構的數字化系統，每年在全球造成數百億元損失。

2025年3月23日，馬來西亞吉隆坡國際機場就曾因為遭遇勒索病毒攻擊，機場核心運營系統大規模異常，持續癱瘓超過10小時，造成的航班延誤賠償等直接經濟損失超過500萬美元。

而AI技術的發展使勒索病毒攻擊變得更加猖狂。傳統的防御方式是將病毒與特征庫進行靜態匹配，可以防御一些已知病毒，但對新增變種病毒束手無策。

“我們是國內最早專門從事勒索病毒應急的公司，已經累計處理近2000起真實的勒索事件。”梁文豪介紹，黑客在發現某機構的數字化系統存在安全漏洞后，一般通過釣魚郵件等方式將勒索病毒投遞到目標系統內，再使用加密算法將系統或文件鎖定，迫使受害方支付贖金（一般以比特幣方式）以恢復系統正常。

而思而聽團隊對黑客使用的勒索病毒進行長期研究后發現，無論勒索病毒怎樣變種，都必須調用操作系統底層的加密函數，并在內存中生成或加載用于文件加密的密鑰。

因此，如同人體接種疫苗后，抗體能夠識別病毒并將其消滅，艾力帶領技術團隊研發出一套密鑰捕獲技術，在病毒調用系統加密函數的瞬間，通過HOOK技術進行攔截并提取正在使用的加密密鑰，從而破解病毒的加密算法，幫助受害用戶恢復數據與系統正常。

具體來說，思而聽會為客戶的數字化系統部署一套從終端監測、密鑰捕獲，到云端分析，再到現場溯源的“疫苗”防御體系，并對客戶系統進行實時監控。一旦檢測到異常行為，疫苗系統會立即進行攔截；如果攔截失敗，勒索病毒開始執行加密流程，疫苗將通過密鑰捕獲技術破解病毒算法。

危機解除后，思而聽會對終端捕獲的病毒進行源碼級分析，還原病毒原始代碼，并與威脅信息上報云端勒索情報平臺。艾力表示，病毒原始樣本也會收錄入思而聽自有的病毒庫與特征庫，為底層AI大模型持續提供學習數據。“我們服務的客戶越多，獲得的實戰樣本也會越豐富，反過來賦能疫苗產品不斷進化”。

SAR運行流程

2025年2月21日，思而聽情報監控團隊在Telegram黑產群組中監測到某客戶的敏感數據正在被公開售賣。隨后思而聽啟動應急響應，當天完成輿情處置與病毒溯源，清除黑客留下的后門，并將相關嫌疑人線索提交給監管部門。3個月后，涉案嫌疑人被警方抓捕。

應急響應流程

在梁文豪看來，勒索病毒防御是一場“道高一尺，魔高一丈”的無限戰爭。為了使公司能夠持續輸入優秀的網安人才，同時促進信息安全領域的人才建設，思而聽團隊從5年前開始，有意識打造專業化、場景化的人才培養體系，推出“知行”AI網絡安全教育平臺、“天狩”網絡安全競賽平臺與“魔域”攻防演練平臺。

在此基礎上，思而聽構建起面向網絡安全初學者的交流和實戰演練社區“青少年CTF平臺”。目前，這一平臺注冊用戶超過2萬多人，為高校、企業及各類組織承辦80多場公益性質的CTF競賽，使用院校40多家。（注：CTF為Capture The Flag，譯作奪旗賽，是網絡安全領域一種技術競技比賽，參賽者通過解決各類安全挑戰來獲取特定格式的字符串Flag以得分。）

2.搭建全鏈路防御產品體系，年營收達2000萬元

梁文豪表示，近幾年思而聽的業務主要以應急響應與解密恢復的服務為主。“企業在遭到勒索病毒攻擊前，往往會忽略信息安全風險。所以第一次找到我們的客戶，大多是已經被勒索后想挽回損失。”在幫受攻擊客戶“救火”的過程中，思而聽逐漸與客戶建立起信任與長期合作關系，客戶經歷過勒索攻擊帶來的損失，防范信息安全風險的意識也會提高。

從“亡羊補牢”到“未雨綢繆”，除了“疫苗”產品，思而聽逐漸構建起針對勒索病毒的一體化產品解決方案。“之前有幾家銀行客戶表示，上級部門要求金融機構做好信息安全能力評估，問我們能不能提供相應的技術服務，所以我們順勢推出‘體檢’的評測產品。”梁文豪介紹，評測產品利用思而聽長期積累的勒索病毒樣本庫，可以在客戶指定的隔離環境中，模擬真實的勒索病毒攻擊，幫助客戶評估現有安全產品的實際攔截率、檢測能力與響應短板并生成測評報告。

以往在服務客戶時，艾力發現，有的文件在黑客加密時受損，解密后數據無法完全恢復。“但客戶不是病毒專家，我們很難證明數據受損是黑客造成的，不是解密過程本身的技術問題。后來為了不影響客戶體驗，我們會在解密后主動幫客戶把數據修復也做好，保障最終的交付質量。”

為保障客戶數據安全，思而聽內部建立了嚴格的權限分級、流程隔離與操作審計機制，避免單點人員掌握全鏈路權限。

2025年思而聽營收達到2000萬元，其中65%來自應急響應服務，35%來自標準化產品銷售。梁文豪表示，由于應急響應的解決方案難以規模化，且受限于頂尖人才的數量，思而聽希望在未來幾年能將產品收入占比從35%提升至70%。

而提升產品收入占比，有賴于企業事前防范意識的增強，為此思而聽在抖音、百度等內容平臺上，不斷發布關于網絡勒索病毒與防御的科普視頻，進行長期市場教育。“目前短視頻平臺已經開始幫助我們獲客，轉化率在20%左右。”梁文豪表示。

3.押注海外市場和AI安全

在中國企業全球化布局的大趨勢下，出海企業在海外市場面臨的信息安全風險也迅速增加。而由于數據安全合規要求，中企往往無法直接與國外網安公司合作。在梁文豪看來，這恰好給思而聽提供了新的市場機遇，為中企出海的信息安全護航。

此前思而聽曾為伊拉克某超大型油田提供安全服務，派遣員工在現場負責日常監控與維護。一旦出現疑似勒索攻擊事件，駐場團隊第一時間啟動應急處置，國內技術團隊則同時在遠程響應并進行病毒溯源分析。

除了拓展海外市場，思而聽也在密切關注大模型時代下企業信息的AI安全問題。尤其是OpenClaw等AI智能體框架的迅速普及，給個人及機構的信息安全提出新的挑戰。

“AI使用安全的前提是數據安全，而數據安全和防勒索病毒是強掛鉤的，也是我們擅長的。”梁文豪表示，在AI正快速改變企業數字化邊界的當下，網絡安全面對的早已不只是單點漏洞和單次攻擊。攻擊方式在加速演化，數據流動更頻繁，企業的風險暴露面也在不斷擴大。對思而聽來說，這意味著防勒索不只是“出了事之后去恢復”，而是把過去在實戰中積累的經驗，沉淀成更長期的情報能力、產品能力和體系化防護能力。

當我們問梁文豪和艾力，為什么沒有選擇自己做黑客，而要辛苦創業時，梁文豪笑道：“幾乎每個的客戶都問過這個問題。黑客雖然可以輕松獲得巨額收益，但也意味著一生都只能過隱姓埋名的生活，而我們幾個人能一起走到今天，就是因為想用自己的技術能力，建立一家持久、正向的偉大公司。”他表示，比起“天才”這樣的標簽，他們更愿意把自己定義為一群長期待在一線、不斷和真實問題打交道的人。

何穎和艾力在高中時期展現出計算機方面的天賦后，很快得到學校以及當地政府部門的支持，在艾力看來，在自己的世界觀尚未形成的青少年時期，這些支持對他們此后人生方向的選擇起到重要的引導作用，“讓我們知道自己的能力不是只能當黑客，還可以為其他人做正向積極的事情，而且能收獲更大的個人價值感，比用不道德的方式掙點錢有意思多了。”

思而聽創業早期的資金，除了來自創始團隊參加各類信息安全賽事的獎金，也得到政府方面的關注與支持。2022年，思而聽獲得山東省國資委下屬上市公司正中信息的510萬元戰略投資。

思而聽團隊

“十三年”的故事始于少年時代的技術理想，而“思而聽”則像是這段理想在今天的延續：“我們始終提醒自己，記得為什么出發，也始終堅持思考、傾聽和解決真實問題。在這個不斷變化的 AI 時代，我們想做的，不只是一次次幫客戶把數據‘搶回來’，而是持續守住更多企業數字世界里的安全底線。”梁文豪說道。

（作者：馮亞玲 楊越欣）