The 'time machine' of ransomware: Snapshot technology principles, attack and defense, and key concepts of protection
In the battlefield of enterprise cybersecurity defense, ransomware (Ransomware) has undoubtedly become the most troublesome adversary in recent years. When hackers encrypt your critical data and demand a huge ransom, traditional "backup restore" often results in excessive downtime (high RTO), causing severe business interruption and losses.
At this time, a storage-level technology called "Snapshot" has become the last line of defense against ransomware for many businesses and individual users, and is even referred to as the "time machine" for data recovery.
So what exactly is a snapshot? How can it instantly "restore" encrypted files? Besides passive restore, what proactive detection capabilities does modern snapshot technology offer? This article will delve into the underlying principles and key management aspects of snapshots.
What is a snapshot?
Simply put, a snapshot is a record of the state of a file system or storageunit at a “specific point in time.” It is important to clarify that a snapshot does not “make another copy” of the data, but rather records the version state of every file, directory, and block mapping relationship (Metadata, Block map) in the file system at that moment.
Many people mistakenly think that a snapshot is a “backup,” but in fact, the two are fundamentally different in terms of technical principles:
-
Backup: creates a complete copy of the data to another physical Storage Space (a full copy).
-
Snapshot: is more like taking a “photo” of the current data structure. It usually only records the pointers or metadata of the data, rather than duplicating the data itself.
Simply put, when we back up 100 gigabyte photos in hard disk drives, making 10 backups will consume 1TB of space. But when we use snapshot technology, under “normal usage scenarios,” keeping 10 snapshots usually only takes up an extra 1%–20% of space (about 1–20 GB), which is a huge efficiency difference.
Comparison table of space and time costs between snapshots and traditional backups
| Comparison Items |
Initial data Amount (Day 0) |
Day 1 (Change 10GB) |
Day 2 (Change 10GB) |
Total Space Used (Approximate) |
Establishment/restore Speed |
| Traditional Full Backup (Full Backup) |
100 gigabyte |
+100 gigabyte (Second Full Backup) |
+100 gigabyte (Third Full Backup) |
300 gigabyte |
Slow (requires moving a large amount of data) |
| Snapshot |
100 gigabyte (original data) |
+10 gigabyte (only records changed blocks) |
+10 gigabyte (only records changed blocks) |
120 gigabyte |
Ultra-fast (only marks pointers) |
Chart Help: This table simulates an environment where an initial 100GB data changes by 10GB each day over two days. You can see that traditional backups duplicate the entire data each time, resulting in linear and multiplied space consumption. In contrast, snapshots only record the changed blocks, so space growth is extremely slow. This explains why businesses can easily retain hundreds of snapshot time points.
Technical Principle: Operation and Trade-offs of COW and ROW
Currently, the mainstream snapshot technologies are mainly divided into two types, each with its own advantages in terms of efficiency and space utilization:
1. Copy-On-Write (COW)
When the original data needs to be modified, the system will first pause the write operation, copy the “old data block” to the snapshot reserved area, and then allow the new data to be written in the original location.
Advantage: Reading the original data is very fast because the data location has not changed.
Disadvantage: Write performance is relatively poor (because each write operation requires "read old data -> copy -> write new data"), which is known as the "write penalty (Write Penalty)".
2. Redirect-On-Write (ROW) during writing
This is a common approach used in modern high-efficiency storage (such as the ZFS file system and mid-to-high-end NAS). When new data is written, the system does not move the old blocks, but instead writes the new data directly to a “new location” on the hard disk drives, and updates the pointer to the new location, while the snapshot continues to retain the pointer to the old blocks.
Advantage: Creating snapshots and writing data has almost no impact on performance, and the speed is extremely fast.
Cost: Fragmentation. This is a physical limitation that ROW technology must face. Due to the data blocks of files being scattered across different physical locations in hard disk drives after multiple modifications, over time this may lead to decreased read performance of traditional hard disk drives (HDD). Therefore, for storage systems using ROW technology, it is generally recommended to pair with an all-flash architecture (All-Flash) or a robust background auto-reorganization mechanism to mitigate this impact.
How do snapshots defend against ransomware? From passive restore to proactive detection
The standard operating procedure for ransomware software is: read file → encrypt → delete original file → leave behind the encrypted, scrambled file. In response to this process, QuicKProtect provides multiple layers of defense mechanisms.
Key 1: Bypassing OS-level attacks (VSS vs. Storage Snapshot)
Speaking of snapshots, we must also distinguish between "operating system-level" and "storageunit level." The first action of modern ransomware (such as LockBit, BlackCat) after infiltrating Windows is often to execute commands to delete VSS (Volume Shadow Copy), preventing users from utilizing the built-in restore feature of Windows. At this point, snapshots at the storageunit level play the most critical role.
Because NAS or SAN snapshot management is independent of the operating system (Out-of-Band), even if a hacker obtains Administrator Permission of Windows and wipes out local snapshots, they still cannot delete the underlying snapshots on storageunit through commands.
Key Two: Instant restore (Instant Recovery)
Because snapshots preserve the 'point-in-time state' of files before they are encrypted, when ransomware is detected, administrators only need to select a time point before the infection (for example, if the infection occurred at 10:00, select the 09:55 snapshot) in the management interface of storageunit.
At this point, whether the data size is 1TB or 100TB, using snapshot restore usually only takes a few seconds to a few minutes. The system just needs to point the index back to the old blocks, which greatly reduces the Recovery Time Objective (RTO).
Key Three: AI Entropy Detection, transforming from a time-of-flight camera to a detector
Traditional snapshots are passive, but the latest storage technology is using snapshots for “proactive defense.” When ransomware encrypts files, it causes the “entropy” (randomness) of data blocks to spike dramatically (after encryption, data appears as random data).
Modern storageunit will monitor the entropy changes of write blocks in real time. If a large number of blocks show abnormal spikes in entropy along with high-frequency writes, the system will determine that an attack is occurring and will automatically trigger immutable snapshots, or even proactively cut off write Permission to the connection (SMB/NFS).
In addition, if the system itself provides appropriate mechanisms, you can also monitor suspicious file operations through Security Center (file activity monitoring). Once an anomaly is detected, protection measures can be triggered, such as setting the volume to read-only, automatically creating snapshots, or temporarily suspending the snapshot schedule, to prevent data encryption or data loss.
Advanced Protection: Immutable Snapshots and Management Principles
As cybersecurity attacks evolve, hackers not only encrypt data, but also attempt to compromise storageunit administrators Permission to quickly destroy snapshots. To counter this kind of 'cut-off' attack, it is necessary to implement the following stricter locking mechanisms.
Immutable Snapshots / WORM
This is a “Write Once, Read Many” technology. Once an immutable snapshot is set (for example, locked for 7 days), during this period, no one (including Administrators or Root accounts with the highest Permission) can delete or modify these snapshots. It’s like locking the film in a time-locked safe.
The last line of defense at the management layer: MFA and the four-eyes principle
No matter how strong the technology, human nature is often the weak point. What if a hacker obtains the highest Permission password through social engineering? The new generation of information security compliance requirements (such as the revised ISO 27001) recommend implementing the following measures:
Multi-factor Authentication (MFA): When logging into the storage management interface or performing deletion operations, mobile OTP two-step verification is mandatory. Using Google Authenticator or Microsoft Authenticator has become standard practice. Similar confirmations are also required for critical actions in systems and services such as ZOHO and Cloudflare DNS. Administrators should be accustomed to and routinely deploy these measures in daily system operations.
Four-Eyes Principle (Four-Eyes Principle): For destructive commands such as "Delete Snapshot" or "Format", the system should be configured to require simultaneous License execution by "two" different admin accounts. This can effectively prevent a single account from being compromised or maliciously abused by insiders.
Snapshots are not the same as backups and cannot solve the issue of “double ransomware”.
Although Quick Photo is extremely powerful on ransomware prevention software, and it is also very useful when colleagues in the office call the administrator or IT staff to rescue them from accidental deletion or system damagedata, we still need to clarify the actual perceptions in the market:
The first point is that snapshots cannot completely replace backups, as snapshots still rely on the original storageunit. If the entire NAS hardware fails or hard disk drives is damaged, the snapshots will also be lost. When implementing storage environments for enterprises or home use, we should always follow the 3-2-1 backup principle (3 copies of data, 2 different media, 1 offsite), and preferably prepare an extra NAS to back up your NAS or storageunit. In addition, you can purchase tape drives, external hard disk drives, and other devices for backup, as well as cloud and offsite backups, etc. Through Hybrid Backup Sync 3, you can achieve multi-layered backups, including air-gapped backups. In today's world where threats are increasing, the 3-2-1 backup principle remains a golden rule.
The second point is that snapshots can save data, but they cannot save confidential information. Although snapshots solve the issue of "data availability (Availability)" and allow you to recover your files, the current trend of "Double Extortion" means that hackers will first steal your sensitive data and then encrypt it. Even if you use snapshots to quickly restore restore and data, hackers can still threaten to expose your customer data. Therefore, snapshots must be paired with DLP (Data Loss Prevention for data leakage protection) and Networking encrypted transmission to form a complete data security strategy.
Snapshot Protection Capability Grading Checklist
| Protection function |
Basic Snapshot |
Advanced Snapshot |
Enterprise Management |
| Instant restore (Instant Recovery) |
✅ |
✅ |
✅ |
| Defense against VSS deletion attacks (independent at the base layer) |
✅ |
✅ |
✅ |
| Defense against highest-level Permission administrator deletion (WORM/immutable) |
❌
(Admin can delete) |
✅
(No one can delete within the set period) |
✅ |
| Active detection of ransomware encryption behavior (AI entropy analysis) |
❌ |
✅
(Detected and automatically quick snapshot/disconnect) |
✅ |
| Defense against internal malicious destruction/password compromise (MFA/four-eyes principle) |
❌ |
❌ |
✅
(Requires dual review for deletion) |
La « machine à remonter le temps » des ransomwares : principes de la technologie Snapshot, attaque et défense, et concepts clés de protection
Sur le champ de bataille de la cybersécurité des entreprises, les ransomwares (Ransomware) sont sans aucun doute devenus l’adversaire le plus redoutable de ces dernières années. Lorsque des pirates chiffrent vos données critiques et exigent une rançon élevée, la restauration traditionnelle à partir d’une sauvegarde entraîne souvent des interruptions prolongées (RTO élevé), causant de graves perturbations et pertes d’activité.
C’est alors qu’une technologie de stockage appelée « Snapshot » devient la dernière ligne de défense contre les ransomwares pour de nombreuses entreprises et utilisateurs individuels, au point d’être qualifiée de « machine à remonter le temps » pour la récupération des données.
Mais qu’est-ce qu’un snapshot exactement ? Comment peut-il « restaurer » instantanément des fichiers chiffrés ? Outre la restauration passive, quelles capacités de détection proactive la technologie snapshot moderne offre-t-elle ? Cet article explore en profondeur les principes fondamentaux et les aspects clés de la gestion des snapshots.
Qu’est-ce qu’un snapshot ?
En termes simples, un snapshot est un enregistrement de l’état d’un système de fichiers ou d’une unité de stockage à un « instant précis ». Il est important de préciser qu’un snapshot ne « crée pas une autre copie » des données, mais enregistre l’état de version de chaque fichier, dossier et la relation de mappage des blocs (Métadonnées, Block map) dans le système de fichiers à ce moment-là.
Beaucoup pensent à tort qu’un snapshot est une « sauvegarde », mais en réalité, les deux diffèrent fondamentalement dans leurs principes techniques :
-
Sauvegarde : crée une copie complète des données sur un autre espace de stockage physique (copie intégrale).
-
Snapshot : s’apparente davantage à une « photo » de la structure de données actuelle. Il enregistre généralement uniquement les pointeurs ou les métadonnées des données, sans dupliquer les données elles-mêmes.
En résumé, si l’on sauvegarde 100 Go de photos sur un disque dur, effectuer 10 sauvegardes consommera 1 To d’espace. Mais avec la technologie snapshot, dans des « scénarios d’utilisation normale », conserver 10 snapshots n’utilisera généralement que 1 à 20 % d’espace supplémentaire (environ 1 à 20 Go), ce qui représente une différence d’efficacité considérable.
Tableau comparatif des coûts d’espace et de temps entre snapshots et sauvegardes traditionnelles
| Éléments de comparaison |
Données initiales (Jour 0) |
Jour 1 (Changement 10 Go) |
Jour 2 (Changement 10 Go) |
Espace total utilisé (approx.) |
Vitesse de création/restauration |
| Sauvegarde complète traditionnelle (Full Backup) |
100 Go |
+100 Go (deuxième sauvegarde complète) |
+100 Go (troisième sauvegarde complète) |
300 Go |
Lente (déplacement d’un grand volume de données) |
| Snapshot |
100 Go (données d’origine) |
+10 Go (enregistre uniquement les blocs modifiés) |
+10 Go (enregistre uniquement les blocs modifiés) |
120 Go |
Ultra-rapide (marque seulement les pointeurs) |
Aide au tableau : Ce tableau simule un environnement où 100 Go de données initiales changent de 10 Go chaque jour pendant deux jours. On constate que les sauvegardes traditionnelles dupliquent l’ensemble des données à chaque fois, entraînant une consommation d’espace linéaire et multipliée. À l’inverse, les snapshots n’enregistrent que les blocs modifiés, la croissance de l’espace est donc extrêmement lente. Cela explique pourquoi les entreprises peuvent facilement conserver des centaines de points de restauration snapshot.
Principe technique : fonctionnement et compromis du COW et du ROW
Actuellement, les technologies snapshot les plus répandues se divisent principalement en deux types, chacune ayant ses avantages en termes d’efficacité et d’utilisation de l’espace :
1. Copy-On-Write (COW)
Lorsque les données d’origine doivent être modifiées, le système suspend d’abord l’opération d’écriture, copie le « bloc de données ancien » dans la zone réservée au snapshot, puis autorise l’écriture des nouvelles données à l’emplacement d’origine.
Avantage : La lecture des données d’origine est très rapide car leur emplacement n’a pas changé.
Inconvénient : Les performances en écriture sont relativement faibles (car chaque écriture nécessite « lecture ancienne donnée -> copie -> écriture nouvelle donnée »), ce que l’on appelle la « pénalité d’écriture (Write Penalty) ».
2. Redirect-On-Write (ROW) lors de l’écriture
C’est une méthode courante dans les solutions de stockage modernes à haute efficacité (comme le système de fichiers ZFS et les NAS de milieu à haut de gamme). Lorsqu’une nouvelle donnée est écrite, le système ne déplace pas les anciens blocs, mais écrit directement la nouvelle donnée à un « nouvel emplacement » sur le disque dur, et met à jour le pointeur vers ce nouvel emplacement, tandis que le snapshot conserve le pointeur vers les anciens blocs.
Avantage : La création de snapshots et l’écriture de données n’ont quasiment aucun impact sur les performances, la vitesse est extrêmement rapide.
Coût : Fragmentation. C’est une limite physique à laquelle la technologie ROW doit faire face. En raison de la dispersion des blocs de fichiers sur différents emplacements physiques après plusieurs modifications, cela peut, avec le temps, entraîner une baisse des performances de lecture sur les disques durs traditionnels (HDD). Ainsi, pour les systèmes de stockage utilisant la technologie ROW, il est généralement recommandé d’opter pour une architecture tout-flash (All-Flash) ou un mécanisme robuste de réorganisation automatique en arrière-plan pour atténuer cet impact.
Comment les snapshots défendent-ils contre les ransomwares ? De la restauration passive à la détection proactive
La procédure standard d’un ransomware est : lecture du fichier → chiffrement → suppression du fichier original → conservation du fichier chiffré et brouillé. Pour contrer ce processus, QuicKProtect propose plusieurs couches de mécanismes de défense.
Clé 1 : Contourner les attaques au niveau du système d’exploitation (VSS vs. Snapshot de stockage)
En parlant de snapshots, il faut aussi distinguer le « niveau système d’exploitation » du « niveau unité de stockage ». La première action des ransomwares modernes (comme LockBit, BlackCat) après avoir infiltré Windows est souvent d’exécuter des commandes pour supprimer le VSS (Volume Shadow Copy), empêchant ainsi les utilisateurs d’utiliser la fonction de restauration intégrée de Windows. À ce stade, les snapshots au niveau de l’unité de stockage jouent un rôle crucial.
En effet, la gestion des snapshots NAS ou SAN est indépendante du système d’exploitation (Out-of-Band) : même si un pirate obtient les droits Administrateur de Windows et supprime les snapshots locaux, il ne pourra pas supprimer les snapshots sous-jacents sur l’unité de stockage via des commandes.
Clé 2 : Restauration instantanée (Instant Recovery)
Parce que les snapshots conservent l’« état à un instant T » des fichiers avant leur chiffrement, lorsqu’un ransomware est détecté, les administrateurs n’ont qu’à sélectionner un point de restauration antérieur à l’infection (par exemple, si l’infection a eu lieu à 10h00, choisir le snapshot de 09h55) dans l’interface de gestion de l’unité de stockage.
À ce moment-là, que la taille des données soit de 1 To ou 100 To, la restauration via snapshot ne prend généralement que quelques secondes à quelques minutes. Le système doit simplement repointer l’index vers les anciens blocs, ce qui réduit considérablement l’objectif de temps de restauration (RTO).
Clé 3 : Détection d’entropie par IA, passer de la caméra à temps de vol au détecteur
Les snapshots traditionnels sont passifs, mais la technologie de stockage la plus récente utilise les snapshots pour une « défense proactive ». Lorsqu’un ransomware chiffre des fichiers, cela provoque une augmentation brutale de « l’entropie » (aléa) des blocs de données (après chiffrement, les données apparaissent comme aléatoires).
Les unités de stockage modernes surveillent en temps réel les variations d’entropie des blocs écrits. Si un grand nombre de blocs présentent des pics d’entropie anormaux associés à des écritures à haute fréquence, le système considère qu’une attaque est en cours et déclenche automatiquement des snapshots immuables, voire coupe proactivement les droits d’écriture de la connexion (SMB/NFS).
De plus, si le système propose les mécanismes adéquats, il est aussi possible de surveiller les opérations de fichiers suspectes via le Security Center (surveillance d’activité des fichiers). Dès qu’une anomalie est détectée, des mesures de protection peuvent être déclenchées, comme le passage du volume en lecture seule, la création automatique de snapshots ou la suspension temporaire du planning de snapshots, afin d’éviter le chiffrement ou la perte de données.
Protection avancée : snapshots immuables et principes de gestion
À mesure que les attaques évoluent, les hackers ne se contentent plus de chiffrer les données, ils tentent aussi de compromettre les droits administrateur de l’unité de stockage pour détruire rapidement les snapshots. Pour contrer ce type d’attaque « radicale », il est nécessaire de mettre en place les mécanismes de verrouillage suivants, plus stricts.
Snapshots immuables / WORM
Il s’agit d’une technologie « Write Once, Read Many ». Une fois un snapshot immuable défini (par exemple, verrouillé pour 7 jours), pendant cette période, personne (y compris les administrateurs ou comptes Root avec les droits les plus élevés) ne peut supprimer ou modifier ces snapshots. C’est comme enfermer la pellicule dans un coffre-fort à ouverture différée.
Dernière ligne de défense côté gestion : MFA et principe des quatre yeux
Aussi solide que soit la technologie, la faille reste souvent humaine. Que se passe-t-il si un pirate obtient le mot de passe administrateur suprême par ingénierie sociale ? Les nouvelles exigences de conformité en sécurité de l’information (comme la norme ISO 27001 révisée) recommandent les mesures suivantes :
Authentification multifacteur (MFA) : Lors de la connexion à l’interface de gestion du stockage ou pour toute opération de suppression, la double vérification OTP mobile est obligatoire. L’utilisation de Google Authenticator ou Microsoft Authenticator est devenue la norme. Des confirmations similaires sont également requises pour les actions critiques dans des systèmes et services comme ZOHO ou Cloudflare DNS. Les administrateurs doivent s’habituer à déployer ces mesures dans les opérations quotidiennes.
Principe des quatre yeux (Four-Eyes Principle) : Pour les commandes destructrices telles que « Supprimer un snapshot » ou « Formater », le système doit exiger une exécution simultanée par « deux » comptes administrateur différents. Cela permet d’éviter qu’un seul compte soit compromis ou utilisé à des fins malveillantes par un initié.
Les snapshots ne sont pas des sauvegardes et ne résolvent pas le problème du « double ransomware »
Bien que Quick Photo soit extrêmement puissant contre les ransomwares, et très utile lorsque des collègues appellent l’administrateur ou l’IT pour les sauver d’une suppression accidentelle ou d’une panne système, il faut clarifier certaines idées reçues sur le marché :
Premièrement, les snapshots ne peuvent pas remplacer totalement les sauvegardes, car ils dépendent toujours de l’unité de stockage d’origine. Si le matériel NAS entier tombe en panne ou si le disque dur est endommagé, les snapshots seront également perdus. Lors de la mise en place d’environnements de stockage pour les entreprises ou à domicile, il faut toujours suivre la règle de sauvegarde 3-2-1 (3 copies des données, 2 supports différents, 1 hors site), et idéalement prévoir un NAS supplémentaire pour sauvegarder votre NAS ou unité de stockage. Vous pouvez également acquérir des lecteurs de bandes, des disques durs externes, etc., ainsi que des sauvegardes cloud et hors site. Avec Hybrid Backup Sync 3, vous pouvez réaliser des sauvegardes multi-niveaux, y compris des sauvegardes déconnectées (air-gapped). À l’ère des menaces croissantes, la règle 3-2-1 reste une règle d’or.
Deuxièmement, les snapshots peuvent sauver les données, mais pas les informations confidentielles. Même si les snapshots résolvent la question de « la disponibilité des données » et permettent de restaurer vos fichiers, la tendance actuelle du « double chantage » signifie que les hackers volent d’abord vos données sensibles avant de les chiffrer. Même si vous restaurez rapidement vos données grâce aux snapshots, les hackers peuvent toujours menacer de divulguer vos données clients. Les snapshots doivent donc être associés à une solution DLP (Data Loss Prevention pour la protection contre les fuites de données) et à un chiffrement des transmissions réseau pour une stratégie de sécurité complète.
Grille d’évaluation des capacités de protection par snapshot
| Fonction de protection |
Snapshot de base |
Snapshot avancé |
Gestion d’entreprise |
| Restauration instantanée (Instant Recovery) |
✅ |
✅ |
✅ |
| Défense contre la suppression VSS (indépendant de la couche de base) |
✅ |
✅ |
✅ |
| Défense contre la suppression par l’administrateur au plus haut niveau (WORM/immuable) |
❌
(L’admin peut supprimer) |
✅
(Personne ne peut supprimer pendant la période définie) |
✅ |
| Détection active du comportement de chiffrement ransomware (analyse d’entropie IA) |
❌ |
✅
(Détecté et snapshot rapide/déconnexion automatique) |
✅ |
| Défense contre la destruction malveillante interne/compromission de mot de passe (MFA/principe des quatre yeux) |
❌ |
❌ |
✅
(Double validation requise pour la suppression) |
9 min de lecture
