从高中社团起步，三个00后天才研发网络勒索病毒“疫苗”，帮企业从黑客手中“抢”数据 | 水下项目

“你的文件已被加密，72小时内支付赎金，否则数据将永久销毁”——这是许多人都曾遭遇过的网络勒索（Cyberextortion）的典型场景。

网络勒索是一种常见的网络犯罪，黑客通过向企业或个人的电脑系统植入勒索病毒，使其无法正常打开或运行，从而勒索赎金。Orange Cyberdefense报告显示，网络勒索犯罪在全球呈爆炸式增长，2020年以来受害者数量增至三倍，受影响组织超过1.9万个。

作为国内最早一批专攻网络勒索防御的公司，「思而听」是目前全球少数具备勒索病毒深度应急防治能力的公司之一。思而听成立于2022年，通过自研的密钥捕获、AI大模型对抗训练等核心技术，向受到攻击的用户提供应急响应、溯源分析、数据恢复等防勒索服务。

思而听真正的起点可以追溯到2015年新疆克拉玛依一所高中的机房——当时年仅15岁的何颖，与同样是计算机天才的同学艾力扎提·黑力力（下简称“艾力”）在这里创办“十三年”网络安全社团，并多次参与网络安全竞赛，引起当地政府与网络安全领域企业的关注。此后，思而听创始人何颖还被多家企业特邀为网络安全工程师，带领团队协助国内安全机关打击上百起网络安全犯罪。

艾力目前担任思而听CTO，高二保送四川大学网络安全少年班，主导研发全国首个“勒索病毒密钥捕获”技术。市场负责人梁文豪在大学时期加入“十三年”，是“上合之树”中亚网络安全议题特邀专家，有多年网络安全运营、网安大赛项目落地经验。

目前，思而听客户已覆盖全球20多个行业的500多个单位，累计帮助客户挽回经济损失逾亿元。在夯实国内网络安全业务后，思而听正计划进一步拓展海外市场，同时将公司技术优势向AI安全等领域延伸。

1.攻破密钥捕获技术，研发网络勒索病毒“疫苗”

过去十年，“依托”比特币使用的普及，网络勒索病毒从“暗网”等相对边缘的黑色地带，迅速发展演变为一条跨国黑色产业链，波及金融、能源等几乎所有行业，以及学校、机场、政府等机构的数字化系统，每年在全球造成数百亿元损失。

2025年3月23日，马来西亚吉隆坡国际机场就曾因为遭遇勒索病毒攻击，机场核心运营系统大规模异常，持续瘫痪超过10小时，造成的航班延误赔偿等直接经济损失超过500万美元。

而AI技术的发展使勒索病毒攻击变得更加猖狂。传统的防御方式是将病毒与特征库进行静态匹配，可以防御一些已知病毒，但对新增变种病毒束手无策。

“我们是国内最早专门从事勒索病毒应急的公司，已经累计处理近2000起真实的勒索事件。”梁文豪介绍，黑客在发现某机构的数字化系统存在安全漏洞后，一般通过钓鱼邮件等方式将勒索病毒投递到目标系统内，再使用加密算法将系统或文件锁定，迫使受害方支付赎金（一般以比特币方式）以恢复系统正常。

而思而听团队对黑客使用的勒索病毒进行长期研究后发现，无论勒索病毒怎样变种，都必须调用操作系统底层的加密函数，并在内存中生成或加载用于文件加密的密钥。

因此，如同人体接种疫苗后，抗体能够识别病毒并将其消灭，艾力带领技术团队研发出一套密钥捕获技术，在病毒调用系统加密函数的瞬间，通过HOOK技术进行拦截并提取正在使用的加密密钥，从而破解病毒的加密算法，帮助受害用户恢复数据与系统正常。

具体来说，思而听会为客户的数字化系统部署一套从终端监测、密钥捕获，到云端分析，再到现场溯源的“疫苗”防御体系，并对客户系统进行实时监控。一旦检测到异常行为，疫苗系统会立即进行拦截；如果拦截失败，勒索病毒开始执行加密流程，疫苗将通过密钥捕获技术破解病毒算法。

危机解除后，思而听会对终端捕获的病毒进行源码级分析，还原病毒原始代码，并与威胁信息上报云端勒索情报平台。艾力表示，病毒原始样本也会收录入思而听自有的病毒库与特征库，为底层AI大模型持续提供学习数据。“我们服务的客户越多，获得的实战样本也会越丰富，反过来赋能疫苗产品不断进化”。

SAR运行流程

2025年2月21日，思而听情报监控团队在Telegram黑产群组中监测到某客户的敏感数据正在被公开售卖。随后思而听启动应急响应，当天完成舆情处置与病毒溯源，清除黑客留下的后门，并将相关嫌疑人线索提交给监管部门。3个月后，涉案嫌疑人被警方抓捕。

应急响应流程

在梁文豪看来，勒索病毒防御是一场“道高一尺，魔高一丈”的无限战争。为了使公司能够持续输入优秀的网安人才，同时促进信息安全领域的人才建设，思而听团队从5年前开始，有意识打造专业化、场景化的人才培养体系，推出“知行”AI网络安全教育平台、“天狩”网络安全竞赛平台与“魔域”攻防演练平台。

在此基础上，思而听构建起面向网络安全初学者的交流和实战演练社区“青少年CTF平台”。目前，这一平台注册用户超过2万多人，为高校、企业及各类组织承办80多场公益性质的CTF竞赛，使用院校40多家。（注：CTF为Capture The Flag，译作夺旗赛，是网络安全领域一种技术竞技比赛，参赛者通过解决各类安全挑战来获取特定格式的字符串Flag以得分。）

2.搭建全链路防御产品体系，年营收达2000万元

梁文豪表示，近几年思而听的业务主要以应急响应与解密恢复的服务为主。“企业在遭到勒索病毒攻击前，往往会忽略信息安全风险。所以第一次找到我们的客户，大多是已经被勒索后想挽回损失。”在帮受攻击客户“救火”的过程中，思而听逐渐与客户建立起信任与长期合作关系，客户经历过勒索攻击带来的损失，防范信息安全风险的意识也会提高。

从“亡羊补牢”到“未雨绸缪”，除了“疫苗”产品，思而听逐渐构建起针对勒索病毒的一体化产品解决方案。“之前有几家银行客户表示，上级部门要求金融机构做好信息安全能力评估，问我们能不能提供相应的技术服务，所以我们顺势推出‘体检’的评测产品。”梁文豪介绍，评测产品利用思而听长期积累的勒索病毒样本库，可以在客户指定的隔离环境中，模拟真实的勒索病毒攻击，帮助客户评估现有安全产品的实际拦截率、检测能力与响应短板并生成测评报告。

以往在服务客户时，艾力发现，有的文件在黑客加密时受损，解密后数据无法完全恢复。“但客户不是病毒专家，我们很难证明数据受损是黑客造成的，不是解密过程本身的技术问题。后来为了不影响客户体验，我们会在解密后主动帮客户把数据修复也做好，保障最终的交付质量。”

为保障客户数据安全，思而听内部建立了严格的权限分级、流程隔离与操作审计机制，避免单点人员掌握全链路权限。

2025年思而听营收达到2000万元，其中65%来自应急响应服务，35%来自标准化产品销售。梁文豪表示，由于应急响应的解决方案难以规模化，且受限于顶尖人才的数量，思而听希望在未来几年能将产品收入占比从35%提升至70%。

而提升产品收入占比，有赖于企业事前防范意识的增强，为此思而听在抖音、百度等内容平台上，不断发布关于网络勒索病毒与防御的科普视频，进行长期市场教育。“目前短视频平台已经开始帮助我们获客，转化率在20%左右。”梁文豪表示。

3.押注海外市场和AI安全

在中国企业全球化布局的大趋势下，出海企业在海外市场面临的信息安全风险也迅速增加。而由于数据安全合规要求，中企往往无法直接与国外网安公司合作。在梁文豪看来，这恰好给思而听提供了新的市场机遇，为中企出海的信息安全护航。

此前思而听曾为伊拉克某超大型油田提供安全服务，派遣员工在现场负责日常监控与维护。一旦出现疑似勒索攻击事件，驻场团队第一时间启动应急处置，国内技术团队则同时在远程响应并进行病毒溯源分析。

除了拓展海外市场，思而听也在密切关注大模型时代下企业信息的AI安全问题。尤其是OpenClaw等AI智能体框架的迅速普及，给个人及机构的信息安全提出新的挑战。

“AI使用安全的前提是数据安全，而数据安全和防勒索病毒是强挂钩的，也是我们擅长的。”梁文豪表示，在AI正快速改变企业数字化边界的当下，网络安全面对的早已不只是单点漏洞和单次攻击。攻击方式在加速演化，数据流动更频繁，企业的风险暴露面也在不断扩大。对思而听来说，这意味着防勒索不只是“出了事之后去恢复”，而是把过去在实战中积累的经验，沉淀成更长期的情报能力、产品能力和体系化防护能力。

当我们问梁文豪和艾力，为什么没有选择自己做黑客，而要辛苦创业时，梁文豪笑道：“几乎每个的客户都问过这个问题。黑客虽然可以轻松获得巨额收益，但也意味着一生都只能过隐姓埋名的生活，而我们几个人能一起走到今天，就是因为想用自己的技术能力，建立一家持久、正向的伟大公司。”他表示，比起“天才”这样的标签，他们更愿意把自己定义为一群长期待在一线、不断和真实问题打交道的人。

何颖和艾力在高中时期展现出计算机方面的天赋后，很快得到学校以及当地政府部门的支持，在艾力看来，在自己的世界观尚未形成的青少年时期，这些支持对他们此后人生方向的选择起到重要的引导作用，“让我们知道自己的能力不是只能当黑客，还可以为其他人做正向积极的事情，而且能收获更大的个人价值感，比用不道德的方式挣点钱有意思多了。”

思而听创业早期的资金，除了来自创始团队参加各类信息安全赛事的奖金，也得到政府方面的关注与支持。2022年，思而听获得山东省国资委下属上市公司正中信息的510万元战略投资。

思而听团队

“十三年”的故事始于少年时代的技术理想，而“思而听”则像是这段理想在今天的延续：“我们始终提醒自己，记得为什么出发，也始终坚持思考、倾听和解决真实问题。在这个不断变化的 AI 时代，我们想做的，不只是一次次帮客户把数据‘抢回来’，而是持续守住更多企业数字世界里的安全底线。”梁文豪说道。

（作者：冯亚玲 杨越欣）