The 'time machine' of ransomware: Snapshot technology principles, attack and defense, and key concepts of protection
In the battlefield of enterprise cybersecurity defense, ransomware (Ransomware) has undoubtedly become the most troublesome adversary in recent years. When hackers encrypt your critical data and demand a huge ransom, traditional "backup restore" often results in excessive downtime (high RTO), causing severe business interruption and losses.
At this time, a storage-level technology called "Snapshot" has become the last line of defense against ransomware for many businesses and individual users, and is even referred to as the "time machine" for data recovery.
So what exactly is a snapshot? How can it instantly "restore" encrypted files? Besides passive restore, what proactive detection capabilities does modern snapshot technology offer? This article will delve into the underlying principles and key management aspects of snapshots.
What is a snapshot?
Simply put, a snapshot is a record of the state of a file system or storageunit at a “specific point in time.” It is important to clarify that a snapshot does not “make another copy” of the data, but rather records the version state of every file, directory, and block mapping relationship (Metadata, Block map) in the file system at that moment.
Many people mistakenly think that a snapshot is a “backup,” but in fact, the two are fundamentally different in terms of technical principles:
-
Backup: creates a complete copy of the data to another physical Storage Space (a full copy).
-
Snapshot: is more like taking a “photo” of the current data structure. It usually only records the pointers or metadata of the data, rather than duplicating the data itself.
Simply put, when we back up 100 gigabyte photos in hard disk drives, making 10 backups will consume 1TB of space. But when we use snapshot technology, under “normal usage scenarios,” keeping 10 snapshots usually only takes up an extra 1%–20% of space (about 1–20 GB), which is a huge efficiency difference.
Comparison table of space and time costs between snapshots and traditional backups
| Comparison Items |
Initial data Amount (Day 0) |
Day 1 (Change 10GB) |
Day 2 (Change 10GB) |
Total Space Used (Approximate) |
Establishment/restore Speed |
| Traditional Full Backup (Full Backup) |
100 gigabyte |
+100 gigabyte (Second Full Backup) |
+100 gigabyte (Third Full Backup) |
300 gigabyte |
Slow (requires moving a large amount of data) |
| Snapshot |
100 gigabyte (original data) |
+10 gigabyte (only records changed blocks) |
+10 gigabyte (only records changed blocks) |
120 gigabyte |
Ultra-fast (only marks pointers) |
Chart Help: This table simulates an environment where an initial 100GB data changes by 10GB each day over two days. You can see that traditional backups duplicate the entire data each time, resulting in linear and multiplied space consumption. In contrast, snapshots only record the changed blocks, so space growth is extremely slow. This explains why businesses can easily retain hundreds of snapshot time points.
Technical Principle: Operation and Trade-offs of COW and ROW
Currently, the mainstream snapshot technologies are mainly divided into two types, each with its own advantages in terms of efficiency and space utilization:
1. Copy-On-Write (COW)
When the original data needs to be modified, the system will first pause the write operation, copy the “old data block” to the snapshot reserved area, and then allow the new data to be written in the original location.
Advantage: Reading the original data is very fast because the data location has not changed.
Disadvantage: Write performance is relatively poor (because each write operation requires "read old data -> copy -> write new data"), which is known as the "write penalty (Write Penalty)".
2. Redirect-On-Write (ROW) during writing
This is a common approach used in modern high-efficiency storage (such as the ZFS file system and mid-to-high-end NAS). When new data is written, the system does not move the old blocks, but instead writes the new data directly to a “new location” on the hard disk drives, and updates the pointer to the new location, while the snapshot continues to retain the pointer to the old blocks.
Advantage: Creating snapshots and writing data has almost no impact on performance, and the speed is extremely fast.
Cost: Fragmentation. This is a physical limitation that ROW technology must face. Due to the data blocks of files being scattered across different physical locations in hard disk drives after multiple modifications, over time this may lead to decreased read performance of traditional hard disk drives (HDD). Therefore, for storage systems using ROW technology, it is generally recommended to pair with an all-flash architecture (All-Flash) or a robust background auto-reorganization mechanism to mitigate this impact.
How do snapshots defend against ransomware? From passive restore to proactive detection
The standard operating procedure for ransomware software is: read file → encrypt → delete original file → leave behind the encrypted, scrambled file. In response to this process, QuicKProtect provides multiple layers of defense mechanisms.
Key 1: Bypassing OS-level attacks (VSS vs. Storage Snapshot)
Speaking of snapshots, we must also distinguish between "operating system-level" and "storageunit level." The first action of modern ransomware (such as LockBit, BlackCat) after infiltrating Windows is often to execute commands to delete VSS (Volume Shadow Copy), preventing users from utilizing the built-in restore feature of Windows. At this point, snapshots at the storageunit level play the most critical role.
Because NAS or SAN snapshot management is independent of the operating system (Out-of-Band), even if a hacker obtains Administrator Permission of Windows and wipes out local snapshots, they still cannot delete the underlying snapshots on storageunit through commands.
Key Two: Instant restore (Instant Recovery)
Because snapshots preserve the 'point-in-time state' of files before they are encrypted, when ransomware is detected, administrators only need to select a time point before the infection (for example, if the infection occurred at 10:00, select the 09:55 snapshot) in the management interface of storageunit.
At this point, whether the data size is 1TB or 100TB, using snapshot restore usually only takes a few seconds to a few minutes. The system just needs to point the index back to the old blocks, which greatly reduces the Recovery Time Objective (RTO).
Key Three: AI Entropy Detection, transforming from a time-of-flight camera to a detector
Traditional snapshots are passive, but the latest storage technology is using snapshots for “proactive defense.” When ransomware encrypts files, it causes the “entropy” (randomness) of data blocks to spike dramatically (after encryption, data appears as random data).
Modern storageunit will monitor the entropy changes of write blocks in real time. If a large number of blocks show abnormal spikes in entropy along with high-frequency writes, the system will determine that an attack is occurring and will automatically trigger immutable snapshots, or even proactively cut off write Permission to the connection (SMB/NFS).
In addition, if the system itself provides appropriate mechanisms, you can also monitor suspicious file operations through Security Center (file activity monitoring). Once an anomaly is detected, protection measures can be triggered, such as setting the volume to read-only, automatically creating snapshots, or temporarily suspending the snapshot schedule, to prevent data encryption or data loss.
Advanced Protection: Immutable Snapshots and Management Principles
As cybersecurity attacks evolve, hackers not only encrypt data, but also attempt to compromise storageunit administrators Permission to quickly destroy snapshots. To counter this kind of 'cut-off' attack, it is necessary to implement the following stricter locking mechanisms.
Immutable Snapshots / WORM
This is a “Write Once, Read Many” technology. Once an immutable snapshot is set (for example, locked for 7 days), during this period, no one (including Administrators or Root accounts with the highest Permission) can delete or modify these snapshots. It’s like locking the film in a time-locked safe.
The last line of defense at the management layer: MFA and the four-eyes principle
No matter how strong the technology, human nature is often the weak point. What if a hacker obtains the highest Permission password through social engineering? The new generation of information security compliance requirements (such as the revised ISO 27001) recommend implementing the following measures:
Multi-factor Authentication (MFA): When logging into the storage management interface or performing deletion operations, mobile OTP two-step verification is mandatory. Using Google Authenticator or Microsoft Authenticator has become standard practice. Similar confirmations are also required for critical actions in systems and services such as ZOHO and Cloudflare DNS. Administrators should be accustomed to and routinely deploy these measures in daily system operations.
Four-Eyes Principle (Four-Eyes Principle): For destructive commands such as "Delete Snapshot" or "Format", the system should be configured to require simultaneous License execution by "two" different admin accounts. This can effectively prevent a single account from being compromised or maliciously abused by insiders.
Snapshots are not the same as backups and cannot solve the issue of “double ransomware”.
Although Quick Photo is extremely powerful on ransomware prevention software, and it is also very useful when colleagues in the office call the administrator or IT staff to rescue them from accidental deletion or system damagedata, we still need to clarify the actual perceptions in the market:
The first point is that snapshots cannot completely replace backups, as snapshots still rely on the original storageunit. If the entire NAS hardware fails or hard disk drives is damaged, the snapshots will also be lost. When implementing storage environments for enterprises or home use, we should always follow the 3-2-1 backup principle (3 copies of data, 2 different media, 1 offsite), and preferably prepare an extra NAS to back up your NAS or storageunit. In addition, you can purchase tape drives, external hard disk drives, and other devices for backup, as well as cloud and offsite backups, etc. Through Hybrid Backup Sync 3, you can achieve multi-layered backups, including air-gapped backups. In today's world where threats are increasing, the 3-2-1 backup principle remains a golden rule.
The second point is that snapshots can save data, but they cannot save confidential information. Although snapshots solve the issue of "data availability (Availability)" and allow you to recover your files, the current trend of "Double Extortion" means that hackers will first steal your sensitive data and then encrypt it. Even if you use snapshots to quickly restore restore and data, hackers can still threaten to expose your customer data. Therefore, snapshots must be paired with DLP (Data Loss Prevention for data leakage protection) and Networking encrypted transmission to form a complete data security strategy.
Snapshot Protection Capability Grading Checklist
| Protection function |
Basic Snapshot |
Advanced Snapshot |
Enterprise Management |
| Instant restore (Instant Recovery) |
✅ |
✅ |
✅ |
| Defense against VSS deletion attacks (independent at the base layer) |
✅ |
✅ |
✅ |
| Defense against highest-level Permission administrator deletion (WORM/immutable) |
❌
(Admin can delete) |
✅
(No one can delete within the set period) |
✅ |
| Active detection of ransomware encryption behavior (AI entropy analysis) |
❌ |
✅
(Detected and automatically quick snapshot/disconnect) |
✅ |
| Defense against internal malicious destruction/password compromise (MFA/four-eyes principle) |
❌ |
❌ |
✅
(Requires dual review for deletion) |
La 'máquina del tiempo' del ransomware: principios de la tecnología de snapshots, ataque y defensa, y conceptos clave de protección
En el campo de batalla de la ciberseguridad empresarial, el ransomware (Ransomware) se ha convertido, sin duda, en el adversario más problemático de los últimos años. Cuando los hackers cifran tus datos críticos y exigen un rescate elevado, la restauración tradicional de copias de seguridad suele provocar tiempos de inactividad excesivos (alto RTO), causando graves interrupciones y pérdidas en el negocio.
En este contexto, una tecnología a nivel de almacenamiento llamada "Snapshot" se ha convertido en la última línea de defensa contra el ransomware para muchas empresas y usuarios individuales, e incluso se la conoce como la "máquina del tiempo" para la recuperación de datos.
Entonces, ¿qué es exactamente un snapshot? ¿Cómo puede "restaurar" instantáneamente archivos cifrados? Además de la restauración pasiva, ¿qué capacidades de detección proactiva ofrece la tecnología de snapshots moderna? Este artículo profundizará en los principios fundamentales y los aspectos clave de la gestión de snapshots.
¿Qué es un snapshot?
En pocas palabras, un snapshot es un registro del estado de un sistema de archivos o unidad de almacenamiento en un "momento específico en el tiempo". Es importante aclarar que un snapshot no "hace otra copia" de los datos, sino que registra el estado de versión de cada archivo, directorio y la relación de mapeo de bloques (Metadatos, Block map) en el sistema de archivos en ese instante.
Muchas personas piensan erróneamente que un snapshot es una "copia de seguridad", pero en realidad, ambos son fundamentalmente diferentes en cuanto a principios técnicos:
-
Copia de seguridad: crea una copia completa de los datos en otro espacio físico de almacenamiento (una copia total).
-
Snapshot: es más parecido a tomar una "foto" de la estructura de datos actual. Normalmente solo registra los punteros o metadatos de los datos, en lugar de duplicar los datos en sí.
En resumen, cuando hacemos una copia de seguridad de 100 GB de fotos en discos duros, hacer 10 copias de seguridad consumirá 1 TB de espacio. Pero cuando usamos la tecnología de snapshots, en "escenarios de uso normales", mantener 10 snapshots suele ocupar solo un 1%-20% de espacio adicional (alrededor de 1-20 GB), lo que supone una diferencia de eficiencia enorme.
Tabla comparativa de costes de espacio y tiempo entre snapshots y copias de seguridad tradicionales
| Elementos de comparación |
Cantidad de datos inicial (Día 0) |
Día 1 (Cambio 10GB) |
Día 2 (Cambio 10GB) |
Espacio total utilizado (aprox.) |
Velocidad de creación/restauración |
| Copia de seguridad completa tradicional (Full Backup) |
100 GB |
+100 GB (Segunda copia completa) |
+100 GB (Tercera copia completa) |
300 GB |
Lenta (requiere mover gran cantidad de datos) |
| Snapshot |
100 GB (datos originales) |
+10 GB (solo registra bloques modificados) |
+10 GB (solo registra bloques modificados) |
120 GB |
Ultra-rápida (solo marca punteros) |
Ayuda de la tabla: Esta tabla simula un entorno donde 100GB de datos iniciales cambian 10GB cada día durante dos días. Se puede ver que las copias de seguridad tradicionales duplican todos los datos cada vez, lo que resulta en un consumo de espacio lineal y multiplicado. En cambio, los snapshots solo registran los bloques modificados, por lo que el crecimiento del espacio es extremadamente lento. Esto explica por qué las empresas pueden conservar fácilmente cientos de puntos de snapshot en el tiempo.
Principio técnico: funcionamiento y compensaciones de COW y ROW
Actualmente, las tecnologías de snapshots más utilizadas se dividen principalmente en dos tipos, cada una con sus propias ventajas en términos de eficiencia y uso del espacio:
1. Copy-On-Write (COW)
Cuando los datos originales necesitan ser modificados, el sistema primero pausa la operación de escritura, copia el "bloque de datos antiguo" al área reservada para snapshots y luego permite que los nuevos datos se escriban en la ubicación original.
Ventaja: Leer los datos originales es muy rápido porque la ubicación de los datos no ha cambiado.
Desventaja: El rendimiento de escritura es relativamente bajo (porque cada operación de escritura requiere "leer datos antiguos -> copiar -> escribir datos nuevos"), lo que se conoce como la "penalización de escritura (Write Penalty)".
2. Redirect-On-Write (ROW) durante la escritura
Este es un enfoque común en el almacenamiento moderno de alta eficiencia (como el sistema de archivos ZFS y NAS de gama media y alta). Cuando se escriben nuevos datos, el sistema no mueve los bloques antiguos, sino que escribe los datos nuevos directamente en una "nueva ubicación" en los discos duros, y actualiza el puntero a la nueva ubicación, mientras que el snapshot sigue manteniendo el puntero a los bloques antiguos.
Ventaja: Crear snapshots y escribir datos prácticamente no afecta el rendimiento, y la velocidad es extremadamente rápida.
Costo: Fragmentación. Esta es una limitación física que la tecnología ROW debe afrontar. Debido a que los bloques de datos de los archivos quedan dispersos en diferentes ubicaciones físicas en los discos duros tras múltiples modificaciones, con el tiempo esto puede provocar una disminución del rendimiento de lectura en discos duros tradicionales (HDD). Por ello, para sistemas de almacenamiento que usan ROW, generalmente se recomienda combinar con una arquitectura All-Flash o un mecanismo robusto de auto-reorganización en segundo plano para mitigar este impacto.
¿Cómo defienden los snapshots contra el ransomware? De la restauración pasiva a la detección proactiva
El procedimiento estándar de los programas de ransomware es: leer archivo → cifrar → eliminar archivo original → dejar el archivo cifrado y desordenado. En respuesta a este proceso, QuicKProtect proporciona múltiples capas de mecanismos de defensa.
Clave 1: Evitar ataques a nivel de SO (VSS vs. Snapshot de almacenamiento)
Al hablar de snapshots, también debemos distinguir entre "a nivel de sistema operativo" y "a nivel de unidad de almacenamiento". La primera acción del ransomware moderno (como LockBit, BlackCat) tras infiltrarse en Windows suele ser ejecutar comandos para eliminar VSS (Volume Shadow Copy), impidiendo que los usuarios utilicen la función de restauración integrada de Windows. En este punto, los snapshots a nivel de almacenamiento juegan el papel más crítico.
Debido a que la gestión de snapshots en NAS o SAN es independiente del sistema operativo (Out-of-Band), incluso si un hacker obtiene permisos de administrador en Windows y elimina los snapshots locales, aún no podrá borrar los snapshots subyacentes en la unidad de almacenamiento mediante comandos.
Clave 2: Restauración instantánea (Instant Recovery)
Como los snapshots conservan el 'estado en el tiempo' de los archivos antes de ser cifrados, cuando se detecta ransomware, los administradores solo necesitan seleccionar un punto anterior a la infección (por ejemplo, si la infección ocurrió a las 10:00, seleccionar el snapshot de las 09:55) en la interfaz de gestión de la unidad de almacenamiento.
En este momento, ya sea que el tamaño de los datos sea 1TB o 100TB, usar la restauración por snapshot suele tomar solo unos segundos o minutos. El sistema solo necesita apuntar el índice a los bloques antiguos, lo que reduce enormemente el Recovery Time Objective (RTO).
Clave 3: Detección de entropía por IA, de cámara de tiempo de vuelo a detector
Los snapshots tradicionales son pasivos, pero la tecnología de almacenamiento más reciente utiliza snapshots para la "defensa proactiva". Cuando el ransomware cifra archivos, provoca que la "entropía" (aleatoriedad) de los bloques de datos aumente drásticamente (tras el cifrado, los datos parecen aleatorios).
El almacenamiento moderno monitoriza en tiempo real los cambios de entropía de los bloques escritos. Si muchos bloques muestran picos anormales de entropía junto con escrituras de alta frecuencia, el sistema determina que está ocurriendo un ataque y activa automáticamente snapshots inmutables, o incluso corta proactivamente el permiso de escritura a la conexión (SMB/NFS).
Además, si el sistema proporciona los mecanismos adecuados, también puedes monitorizar operaciones sospechosas de archivos a través del Security Center (monitorización de actividad de archivos). Una vez detectada una anomalía, se pueden activar medidas de protección, como poner el volumen en solo lectura, crear snapshots automáticamente o suspender temporalmente la programación de snapshots, para evitar el cifrado o la pérdida de datos.
Protección avanzada: snapshots inmutables y principios de gestión
A medida que evolucionan los ataques de ciberseguridad, los hackers no solo cifran datos, sino que también intentan comprometer los permisos de administrador de la unidad de almacenamiento para destruir rápidamente los snapshots. Para contrarrestar este tipo de ataque de 'corte', es necesario implementar los siguientes mecanismos de bloqueo más estrictos.
Snapshots inmutables / WORM
Esta es una tecnología "Write Once, Read Many". Una vez que se establece un snapshot inmutable (por ejemplo, bloqueado por 7 días), durante ese periodo, nadie (incluidos administradores o cuentas Root con los permisos más altos) puede eliminar o modificar estos snapshots. Es como guardar la película en una caja fuerte con temporizador.
Última línea de defensa en la gestión: MFA y el principio de doble control
Por fuerte que sea la tecnología, la naturaleza humana suele ser el punto débil. ¿Qué pasa si un hacker obtiene la contraseña de máximo permiso mediante ingeniería social? Los nuevos requisitos de cumplimiento de seguridad de la información (como la revisión de la ISO 27001) recomiendan implementar las siguientes medidas:
Autenticación multifactor (MFA): Al iniciar sesión en la interfaz de gestión de almacenamiento o realizar operaciones de borrado, es obligatorio la verificación en dos pasos con OTP móvil. Usar Google Authenticator o Microsoft Authenticator se ha convertido en una práctica estándar. Confirmaciones similares también se requieren para acciones críticas en sistemas y servicios como ZOHO y Cloudflare DNS. Los administradores deben acostumbrarse y desplegar estas medidas de forma rutinaria en las operaciones diarias del sistema.
Principio de doble control (Four-Eyes Principle): Para comandos destructivos como "Eliminar Snapshot" o "Formatear", el sistema debe requerir la ejecución simultánea por "dos" cuentas de administrador diferentes. Esto puede prevenir eficazmente que una sola cuenta sea comprometida o abusada maliciosamente por personal interno.
Los snapshots no son lo mismo que las copias de seguridad y no resuelven el problema del "doble ransomware".
Aunque Quick Photo es extremadamente potente en la prevención de ransomware, y también es muy útil cuando los compañeros de oficina llaman al administrador o al personal de TI para que los rescaten de un borrado accidental o daño del sistema, aún debemos aclarar las percepciones reales en el mercado:
El primer punto es que los snapshots no pueden reemplazar completamente las copias de seguridad, ya que los snapshots siguen dependiendo de la unidad de almacenamiento original. Si falla todo el hardware NAS o se dañan los discos duros, los snapshots también se perderán. Al implementar entornos de almacenamiento para empresas o uso doméstico, siempre debemos seguir el principio de copia de seguridad 3-2-1 (3 copias de datos, 2 medios diferentes, 1 fuera de sitio), y preferiblemente preparar un NAS extra para respaldar tu NAS o unidad de almacenamiento. Además, puedes adquirir unidades de cinta, discos duros externos y otros dispositivos para copias de seguridad, así como copias en la nube y fuera de sitio, etc. Con Hybrid Backup Sync 3, puedes lograr copias de seguridad multinivel, incluidas copias de seguridad air-gapped. En el mundo actual, donde las amenazas aumentan, el principio 3-2-1 sigue siendo una regla de oro.
El segundo punto es que los snapshots pueden salvar datos, pero no pueden salvar información confidencial. Aunque los snapshots resuelven el problema de la "disponibilidad de datos (Availability)" y te permiten recuperar tus archivos, la tendencia actual del "doble chantaje" significa que los hackers primero roban tus datos sensibles y luego los cifran. Incluso si usas snapshots para restaurar rápidamente los datos, los hackers aún pueden amenazar con exponer los datos de tus clientes. Por lo tanto, los snapshots deben combinarse con DLP (Prevención de Pérdida de Datos para protección contra fugas) y transmisión de red cifrada para formar una estrategia completa de seguridad de datos.
Lista de verificación de niveles de capacidad de protección de snapshots
| Función de protección |
Snapshot básico |
Snapshot avanzado |
Gestión empresarial |
| Restauración instantánea (Instant Recovery) |
✅ |
✅ |
✅ |
| Defensa contra ataques de borrado de VSS (independiente en la capa base) |
✅ |
✅ |
✅ |
| Defensa contra borrado por administrador de máximo permiso (WORM/inmutable) |
❌
(El admin puede borrar) |
✅
(Nadie puede borrar dentro del periodo establecido) |
✅ |
| Detección activa de comportamiento de cifrado de ransomware (análisis de entropía por IA) |
❌ |
✅
(Detectado y snapshot rápido/desconexión automática) |
✅ |
| Defensa contra destrucción maliciosa interna/compromiso de contraseña (MFA/principio de doble control) |
❌ |
❌ |
✅
(Requiere doble revisión para borrar) |
9 min de lectura
