奈良県の宇陀市立病院は2018年10月、同月1日に稼働を開始したばかりの電子カルテシステムがランサムウェア「GandCrab」に感染した。サーバには10月1日〜15日に来院した3,835人分の診療記録が保存されており、そのうち1,133人分のデータが暗号化された。病院は攻撃者の金銭要求には応じず、セキュリティ企業に暗号化データの復元を依頼した。
感染した機器が初期化され証拠保全がなされなかったため、感染経路は特定できなかった。ただし有識者会議は、本来インターネットに接続しない運用とすべき環境に、職員または委託業者がルールに反してインターネット接続したことが原因とみられると結論づけた。宇陀市は対策本部・有識者会議を設置して原因分析と再発防止策を検討し、2020年2月に報告書を公表した。国内の病院を標的としたランサムウェア被害の初期の代表例として知られる。