The 'time machine' of ransomware: Snapshot technology principles, attack and defense, and key concepts of protection
In the battlefield of enterprise cybersecurity defense, ransomware (Ransomware) has undoubtedly become the most troublesome adversary in recent years. When hackers encrypt your critical data and demand a huge ransom, traditional "backup restore" often results in excessive downtime (high RTO), causing severe business interruption and losses.
At this time, a storage-level technology called "Snapshot" has become the last line of defense against ransomware for many businesses and individual users, and is even referred to as the "time machine" for data recovery.
So what exactly is a snapshot? How can it instantly "restore" encrypted files? Besides passive restore, what proactive detection capabilities does modern snapshot technology offer? This article will delve into the underlying principles and key management aspects of snapshots.
What is a snapshot?
Simply put, a snapshot is a record of the state of a file system or storageunit at a “specific point in time.” It is important to clarify that a snapshot does not “make another copy” of the data, but rather records the version state of every file, directory, and block mapping relationship (Metadata, Block map) in the file system at that moment.
Many people mistakenly think that a snapshot is a “backup,” but in fact, the two are fundamentally different in terms of technical principles:
-
Backup: creates a complete copy of the data to another physical Storage Space (a full copy).
-
Snapshot: is more like taking a “photo” of the current data structure. It usually only records the pointers or metadata of the data, rather than duplicating the data itself.
Simply put, when we back up 100 gigabyte photos in hard disk drives, making 10 backups will consume 1TB of space. But when we use snapshot technology, under “normal usage scenarios,” keeping 10 snapshots usually only takes up an extra 1%–20% of space (about 1–20 GB), which is a huge efficiency difference.
Comparison table of space and time costs between snapshots and traditional backups
| Comparison Items |
Initial data Amount (Day 0) |
Day 1 (Change 10GB) |
Day 2 (Change 10GB) |
Total Space Used (Approximate) |
Establishment/restore Speed |
| Traditional Full Backup (Full Backup) |
100 gigabyte |
+100 gigabyte (Second Full Backup) |
+100 gigabyte (Third Full Backup) |
300 gigabyte |
Slow (requires moving a large amount of data) |
| Snapshot |
100 gigabyte (original data) |
+10 gigabyte (only records changed blocks) |
+10 gigabyte (only records changed blocks) |
120 gigabyte |
Ultra-fast (only marks pointers) |
Chart Help: This table simulates an environment where an initial 100GB data changes by 10GB each day over two days. You can see that traditional backups duplicate the entire data each time, resulting in linear and multiplied space consumption. In contrast, snapshots only record the changed blocks, so space growth is extremely slow. This explains why businesses can easily retain hundreds of snapshot time points.
Technical Principle: Operation and Trade-offs of COW and ROW
Currently, the mainstream snapshot technologies are mainly divided into two types, each with its own advantages in terms of efficiency and space utilization:
1. Copy-On-Write (COW)
When the original data needs to be modified, the system will first pause the write operation, copy the “old data block” to the snapshot reserved area, and then allow the new data to be written in the original location.
Advantage: Reading the original data is very fast because the data location has not changed.
Disadvantage: Write performance is relatively poor (because each write operation requires "read old data -> copy -> write new data"), which is known as the "write penalty (Write Penalty)".
2. Redirect-On-Write (ROW) during writing
This is a common approach used in modern high-efficiency storage (such as the ZFS file system and mid-to-high-end NAS). When new data is written, the system does not move the old blocks, but instead writes the new data directly to a “new location” on the hard disk drives, and updates the pointer to the new location, while the snapshot continues to retain the pointer to the old blocks.
Advantage: Creating snapshots and writing data has almost no impact on performance, and the speed is extremely fast.
Cost: Fragmentation. This is a physical limitation that ROW technology must face. Due to the data blocks of files being scattered across different physical locations in hard disk drives after multiple modifications, over time this may lead to decreased read performance of traditional hard disk drives (HDD). Therefore, for storage systems using ROW technology, it is generally recommended to pair with an all-flash architecture (All-Flash) or a robust background auto-reorganization mechanism to mitigate this impact.
How do snapshots defend against ransomware? From passive restore to proactive detection
The standard operating procedure for ransomware software is: read file → encrypt → delete original file → leave behind the encrypted, scrambled file. In response to this process, QuicKProtect provides multiple layers of defense mechanisms.
Key 1: Bypassing OS-level attacks (VSS vs. Storage Snapshot)
Speaking of snapshots, we must also distinguish between "operating system-level" and "storageunit level." The first action of modern ransomware (such as LockBit, BlackCat) after infiltrating Windows is often to execute commands to delete VSS (Volume Shadow Copy), preventing users from utilizing the built-in restore feature of Windows. At this point, snapshots at the storageunit level play the most critical role.
Because NAS or SAN snapshot management is independent of the operating system (Out-of-Band), even if a hacker obtains Administrator Permission of Windows and wipes out local snapshots, they still cannot delete the underlying snapshots on storageunit through commands.
Key Two: Instant restore (Instant Recovery)
Because snapshots preserve the 'point-in-time state' of files before they are encrypted, when ransomware is detected, administrators only need to select a time point before the infection (for example, if the infection occurred at 10:00, select the 09:55 snapshot) in the management interface of storageunit.
At this point, whether the data size is 1TB or 100TB, using snapshot restore usually only takes a few seconds to a few minutes. The system just needs to point the index back to the old blocks, which greatly reduces the Recovery Time Objective (RTO).
Key Three: AI Entropy Detection, transforming from a time-of-flight camera to a detector
Traditional snapshots are passive, but the latest storage technology is using snapshots for “proactive defense.” When ransomware encrypts files, it causes the “entropy” (randomness) of data blocks to spike dramatically (after encryption, data appears as random data).
Modern storageunit will monitor the entropy changes of write blocks in real time. If a large number of blocks show abnormal spikes in entropy along with high-frequency writes, the system will determine that an attack is occurring and will automatically trigger immutable snapshots, or even proactively cut off write Permission to the connection (SMB/NFS).
In addition, if the system itself provides appropriate mechanisms, you can also monitor suspicious file operations through Security Center (file activity monitoring). Once an anomaly is detected, protection measures can be triggered, such as setting the volume to read-only, automatically creating snapshots, or temporarily suspending the snapshot schedule, to prevent data encryption or data loss.
Advanced Protection: Immutable Snapshots and Management Principles
As cybersecurity attacks evolve, hackers not only encrypt data, but also attempt to compromise storageunit administrators Permission to quickly destroy snapshots. To counter this kind of 'cut-off' attack, it is necessary to implement the following stricter locking mechanisms.
Immutable Snapshots / WORM
This is a “Write Once, Read Many” technology. Once an immutable snapshot is set (for example, locked for 7 days), during this period, no one (including Administrators or Root accounts with the highest Permission) can delete or modify these snapshots. It’s like locking the film in a time-locked safe.
The last line of defense at the management layer: MFA and the four-eyes principle
No matter how strong the technology, human nature is often the weak point. What if a hacker obtains the highest Permission password through social engineering? The new generation of information security compliance requirements (such as the revised ISO 27001) recommend implementing the following measures:
Multi-factor Authentication (MFA): When logging into the storage management interface or performing deletion operations, mobile OTP two-step verification is mandatory. Using Google Authenticator or Microsoft Authenticator has become standard practice. Similar confirmations are also required for critical actions in systems and services such as ZOHO and Cloudflare DNS. Administrators should be accustomed to and routinely deploy these measures in daily system operations.
Four-Eyes Principle (Four-Eyes Principle): For destructive commands such as "Delete Snapshot" or "Format", the system should be configured to require simultaneous License execution by "two" different admin accounts. This can effectively prevent a single account from being compromised or maliciously abused by insiders.
Snapshots are not the same as backups and cannot solve the issue of “double ransomware”.
Although Quick Photo is extremely powerful on ransomware prevention software, and it is also very useful when colleagues in the office call the administrator or IT staff to rescue them from accidental deletion or system damagedata, we still need to clarify the actual perceptions in the market:
The first point is that snapshots cannot completely replace backups, as snapshots still rely on the original storageunit. If the entire NAS hardware fails or hard disk drives is damaged, the snapshots will also be lost. When implementing storage environments for enterprises or home use, we should always follow the 3-2-1 backup principle (3 copies of data, 2 different media, 1 offsite), and preferably prepare an extra NAS to back up your NAS or storageunit. In addition, you can purchase tape drives, external hard disk drives, and other devices for backup, as well as cloud and offsite backups, etc. Through Hybrid Backup Sync 3, you can achieve multi-layered backups, including air-gapped backups. In today's world where threats are increasing, the 3-2-1 backup principle remains a golden rule.
The second point is that snapshots can save data, but they cannot save confidential information. Although snapshots solve the issue of "data availability (Availability)" and allow you to recover your files, the current trend of "Double Extortion" means that hackers will first steal your sensitive data and then encrypt it. Even if you use snapshots to quickly restore restore and data, hackers can still threaten to expose your customer data. Therefore, snapshots must be paired with DLP (Data Loss Prevention for data leakage protection) and Networking encrypted transmission to form a complete data security strategy.
Snapshot Protection Capability Grading Checklist
| Protection function |
Basic Snapshot |
Advanced Snapshot |
Enterprise Management |
| Instant restore (Instant Recovery) |
✅ |
✅ |
✅ |
| Defense against VSS deletion attacks (independent at the base layer) |
✅ |
✅ |
✅ |
| Defense against highest-level Permission administrator deletion (WORM/immutable) |
❌
(Admin can delete) |
✅
(No one can delete within the set period) |
✅ |
| Active detection of ransomware encryption behavior (AI entropy analysis) |
❌ |
✅
(Detected and automatically quick snapshot/disconnect) |
✅ |
| Defense against internal malicious destruction/password compromise (MFA/four-eyes principle) |
❌ |
❌ |
✅
(Requires dual review for deletion) |
La "macchina del tempo" del ransomware: principi della tecnologia snapshot, attacco e difesa, e concetti chiave di protezione
Nel campo di battaglia della difesa della cybersecurity aziendale, il ransomware (Ransomware) è senza dubbio diventato l’avversario più problematico degli ultimi anni. Quando gli hacker criptano i tuoi dati critici e chiedono un enorme riscatto, il tradizionale "ripristino da backup" spesso comporta tempi di inattività eccessivi (alto RTO), causando gravi interruzioni e perdite aziendali.
In questo momento, una tecnologia a livello di storage chiamata "Snapshot" è diventata l’ultima linea di difesa contro il ransomware per molte aziende e utenti individuali, ed è persino definita la "macchina del tempo" per il recupero dei dati.
Ma cos’è esattamente uno snapshot? Come può "ripristinare" istantaneamente i file criptati? Oltre al ripristino passivo, quali capacità di rilevamento proattivo offre la moderna tecnologia snapshot? Questo articolo approfondirà i principi di base e gli aspetti chiave della gestione degli snapshot.
Cos’è uno snapshot?
In poche parole, uno snapshot è una registrazione dello stato di un file system o di una storageunit in un "momento specifico nel tempo". È importante chiarire che uno snapshot non "crea un’altra copia" dei dati, ma registra lo stato di versione di ogni file, directory e relazione di mappatura dei blocchi (Metadata, Block map) nel file system in quel momento.
Molte persone pensano erroneamente che uno snapshot sia un "backup", ma in realtà i due sono fondamentalmente diversi nei principi tecnici:
-
Backup: crea una copia completa dei dati su un altro spazio di archiviazione fisico (una copia completa).
-
Snapshot: è più simile a scattare una "foto" della struttura dati attuale. Di solito registra solo i puntatori o i metadati dei dati, invece di duplicare i dati stessi.
In breve, quando eseguiamo il backup di 100 gigabyte di foto su hard disk drives, effettuare 10 backup consumerà 1TB di spazio. Ma quando utilizziamo la tecnologia snapshot, in "scenari di utilizzo normali", mantenere 10 snapshot di solito occupa solo un extra dell’1%-20% di spazio (circa 1-20 GB), una differenza di efficienza enorme.
Tabella di confronto dei costi di spazio e tempo tra snapshot e backup tradizionali
| Elementi di confronto |
Quantità dati iniziale (Giorno 0) |
Giorno 1 (Cambio 10GB) |
Giorno 2 (Cambio 10GB) |
Spazio totale utilizzato (approssimativo) |
Velocità di creazione/ripristino |
| Backup completo tradizionale (Full Backup) |
100 gigabyte |
+100 gigabyte (Secondo Full Backup) |
+100 gigabyte (Terzo Full Backup) |
300 gigabyte |
Lento (richiede lo spostamento di grandi quantità di dati) |
| Snapshot |
100 gigabyte (dati originali) |
+10 gigabyte (solo blocchi modificati) |
+10 gigabyte (solo blocchi modificati) |
120 gigabyte |
Ultra-veloce (solo marcatura dei puntatori) |
Guida al grafico: Questa tabella simula un ambiente in cui 100GB iniziali di dati cambiano di 10GB ogni giorno per due giorni. Si vede che i backup tradizionali duplicano l’intero dato ogni volta, causando un consumo di spazio lineare e moltiplicato. Al contrario, gli snapshot registrano solo i blocchi modificati, quindi la crescita dello spazio è estremamente lenta. Questo spiega perché le aziende possono facilmente mantenere centinaia di punti temporali snapshot.
Principio tecnico: funzionamento e compromessi di COW e ROW
Attualmente, le tecnologie snapshot mainstream sono principalmente divise in due tipi, ciascuna con i propri vantaggi in termini di efficienza e utilizzo dello spazio:
1. Copy-On-Write (COW)
Quando i dati originali devono essere modificati, il sistema prima interrompe l’operazione di scrittura, copia il "vecchio blocco dati" nell’area riservata dello snapshot, e poi consente la scrittura dei nuovi dati nella posizione originale.
Vantaggio: La lettura dei dati originali è molto veloce perché la posizione dei dati non è cambiata.
Svantaggio: Le prestazioni di scrittura sono relativamente scarse (perché ogni operazione di scrittura richiede "lettura vecchi dati -> copia -> scrittura nuovi dati"), noto come "penalità di scrittura (Write Penalty)".
2. Redirect-On-Write (ROW) durante la scrittura
Questo è un approccio comune utilizzato nei moderni storage ad alta efficienza (come il file system ZFS e NAS di fascia medio-alta). Quando vengono scritti nuovi dati, il sistema non sposta i vecchi blocchi, ma scrive i nuovi dati direttamente in una "nuova posizione" su hard disk drives, aggiornando il puntatore alla nuova posizione, mentre lo snapshot continua a mantenere il puntatore ai vecchi blocchi.
Vantaggio: La creazione di snapshot e la scrittura dei dati non hanno quasi impatto sulle prestazioni, e la velocità è estremamente elevata.
Costo: Frammentazione. Questa è una limitazione fisica che la tecnologia ROW deve affrontare. Poiché i blocchi dati dei file sono sparsi in diverse posizioni fisiche su hard disk drives dopo molte modifiche, nel tempo ciò può portare a una diminuzione delle prestazioni di lettura degli hard disk drives tradizionali (HDD). Pertanto, per i sistemi di storage che utilizzano la tecnologia ROW, si consiglia generalmente di abbinarli a un’architettura all-flash (All-Flash) o a un robusto meccanismo di auto-riorganizzazione in background per mitigare questo impatto.
Come gli snapshot difendono dal ransomware? Dal ripristino passivo al rilevamento proattivo
La procedura operativa standard del software ransomware è: leggi file → cripta → elimina file originale → lascia il file criptato e confuso. In risposta a questo processo, QuicKProtect offre diversi livelli di meccanismi di difesa.
Chiave 1: Aggirare gli attacchi a livello OS (VSS vs. Storage Snapshot)
Parlando di snapshot, dobbiamo anche distinguere tra "livello sistema operativo" e "livello storageunit". La prima azione del ransomware moderno (come LockBit, BlackCat) dopo aver infiltrato Windows è spesso eseguire comandi per eliminare VSS (Volume Shadow Copy), impedendo agli utenti di utilizzare la funzione di ripristino integrata di Windows. A questo punto, gli snapshot a livello di storageunit svolgono il ruolo più critico.
Poiché la gestione degli snapshot NAS o SAN è indipendente dal sistema operativo (Out-of-Band), anche se un hacker ottiene il Permission di amministratore di Windows e cancella gli snapshot locali, non può comunque eliminare gli snapshot sottostanti su storageunit tramite comandi.
Chiave Due: Ripristino istantaneo (Instant Recovery)
Poiché gli snapshot preservano lo "stato puntuale" dei file prima che vengano criptati, quando viene rilevato il ransomware, gli amministratori devono solo selezionare un punto temporale precedente all’infezione (ad esempio, se l’infezione è avvenuta alle 10:00, selezionare lo snapshot delle 09:55) nell’interfaccia di gestione dello storageunit.
A questo punto, che la dimensione dei dati sia 1TB o 100TB, il ripristino tramite snapshot richiede di solito solo pochi secondi o minuti. Il sistema deve solo puntare l’indice ai vecchi blocchi, riducendo notevolmente il Recovery Time Objective (RTO).
Chiave Tre: Rilevamento AI Entropy, trasformando la snapshot da telecamera a rilevatore
Gli snapshot tradizionali sono passivi, ma la tecnologia di storage più recente utilizza gli snapshot per la "difesa proattiva". Quando il ransomware cripta i file, fa aumentare drasticamente l’"entropia" (casualità) dei blocchi dati (dopo la criptazione, i dati appaiono come dati casuali).
Lo storageunit moderno monitora in tempo reale le variazioni di entropia dei blocchi di scrittura. Se molti blocchi mostrano picchi anomali di entropia insieme a scritture ad alta frequenza, il sistema determina che è in corso un attacco e attiva automaticamente snapshot immutabili, o addirittura interrompe proattivamente il Permission di scrittura alla connessione (SMB/NFS).
Inoltre, se il sistema stesso offre meccanismi adeguati, puoi anche monitorare operazioni sospette sui file tramite Security Center (monitoraggio attività file). Una volta rilevata un’anomalia, si possono attivare misure di protezione, come impostare il volume in sola lettura, creare snapshot automaticamente o sospendere temporaneamente la pianificazione degli snapshot, per prevenire la criptazione o la perdita dei dati.
Protezione avanzata: Snapshot immutabili e principi di gestione
Man mano che gli attacchi informatici evolvono, gli hacker non solo criptano i dati, ma cercano anche di compromettere il Permission degli amministratori dello storageunit per distruggere rapidamente gli snapshot. Per contrastare questo tipo di attacco "cut-off", è necessario implementare i seguenti meccanismi di blocco più rigorosi.
Snapshot immutabili / WORM
Questa è una tecnologia "Write Once, Read Many". Una volta impostato uno snapshot immutabile (ad esempio, bloccato per 7 giorni), durante questo periodo nessuno (inclusi amministratori o account Root con Permission massimo) può eliminare o modificare questi snapshot. È come bloccare la pellicola in una cassaforte temporizzata.
L’ultima linea di difesa a livello di gestione: MFA e principio delle quattro mani
Per quanto forte sia la tecnologia, la natura umana è spesso il punto debole. E se un hacker ottiene la password Permission massima tramite social engineering? I nuovi requisiti di conformità della sicurezza delle informazioni (come la revisione ISO 27001) raccomandano di implementare le seguenti misure:
Autenticazione multifattore (MFA): Quando si accede all’interfaccia di gestione dello storage o si eseguono operazioni di eliminazione, è obbligatoria la verifica OTP a due passaggi tramite cellulare. L’uso di Google Authenticator o Microsoft Authenticator è diventato prassi standard. Conferme simili sono richieste anche per azioni critiche in sistemi e servizi come ZOHO e Cloudflare DNS. Gli amministratori dovrebbero essere abituati e implementare queste misure nelle operazioni quotidiane dei sistemi.
Principio delle quattro mani (Four-Eyes Principle): Per comandi distruttivi come "Delete Snapshot" o "Format", il sistema dovrebbe essere configurato per richiedere l’esecuzione simultanea da parte di "due" account admin diversi. Questo può prevenire efficacemente che un singolo account venga compromesso o abusato in modo doloso da insider.
Gli snapshot non sono backup e non risolvono il problema del "doppio ransomware"
Sebbene Quick Photo sia estremamente potente nella prevenzione del ransomware, ed è anche molto utile quando i colleghi in ufficio chiamano l’amministratore o il personale IT per salvarli da cancellazioni accidentali o system damagedata, dobbiamo comunque chiarire le percezioni reali del mercato:
Il primo punto è che gli snapshot non possono sostituire completamente i backup, poiché gli snapshot dipendono ancora dallo storageunit originale. Se l’intero hardware NAS fallisce o hard disk drives si danneggia, anche gli snapshot andranno persi. Quando si implementano ambienti di storage per aziende o uso domestico, dovremmo sempre seguire il principio di backup 3-2-1 (3 copie dei dati, 2 media diversi, 1 offsite), e preferibilmente preparare un NAS extra per il backup del proprio NAS o storageunit. Inoltre, puoi acquistare tape drives, hard disk drives esterni e altri dispositivi per il backup, oltre a backup cloud e offsite, ecc. Tramite Hybrid Backup Sync 3, puoi ottenere backup multilivello, inclusi backup air-gapped. Nel mondo attuale, dove le minacce aumentano, il principio di backup 3-2-1 resta una regola d’oro.
Il secondo punto è che gli snapshot possono salvare i dati, ma non le informazioni riservate. Sebbene gli snapshot risolvano il problema della "disponibilità dei dati (Availability)" e ti permettano di recuperare i tuoi file, la tendenza attuale del "Double Extortion" significa che gli hacker prima rubano i tuoi dati sensibili e poi li criptano. Anche se usi gli snapshot per ripristinare rapidamente restore e dati, gli hacker possono comunque minacciare di esporre i dati dei tuoi clienti. Pertanto, gli snapshot devono essere abbinati a DLP (Data Loss Prevention per la protezione dalla perdita di dati) e trasmissione Networking criptata per formare una strategia completa di sicurezza dei dati.
Checklist di classificazione delle capacità di protezione snapshot
| Funzione di protezione |
Snapshot base |
Snapshot avanzato |
Gestione aziendale |
| Ripristino istantaneo (Instant Recovery) |
✅ |
✅ |
✅ |
| Difesa dagli attacchi di eliminazione VSS (indipendente al livello base) |
✅ |
✅ |
✅ |
| Difesa dall’eliminazione da parte dell’amministratore con Permission massimo (WORM/immutabile) |
❌
(L’admin può eliminare) |
✅
(Nessuno può eliminare nel periodo impostato) |
✅ |
| Rilevamento attivo del comportamento di criptazione ransomware (analisi AI entropia) |
❌ |
✅
(Rilevato e snapshot/disconnessione automatica rapida) |
✅ |
| Difesa dalla distruzione interna/malintenzionata/compromissione password (MFA/principio delle quattro mani) |
❌ |
❌ |
✅
(Richiede doppia approvazione per l’eliminazione) |
9 min di lettura
